Características de Azure Firewall Prémium
Azure Firewall Premium proporciona una protección contra amenazas avanzada que satisface las necesidades de entornos altamente confidenciales y regulados, como los sectores de pagos y atención sanitaria.
Las organizaciones pueden usar las características de la referencia de almacén (SKU) Premium, como la inspección de IDPS y TLS para evitar que el malware y los virus se propaguen entre redes en las direcciones lateral y horizontal. Para satisfacer las mayores demandas de rendimiento de la inspección de IDPS y TLS, Azure Firewall Premium usa una SKU de máquina virtual más eficaz. Al igual que la SKU Estándar, la SKU Premium se puede escalar verticalmente sin problemas hasta 30 Gbps e integrarse con zonas de disponibilidad para posibilitar un contrato de nivel de servicio (SLA) del 99,99 %. La SKU prémium cumple con las necesidades del entorno en cuanto al Estándar de seguridad de datos del sector de las tarjetas de pago (PCI DSS).
Azure Firewall Premium incluye las siguientes características:
- Inspección de TLS: descifra el tráfico saliente, procesa los datos y, luego, los cifra y los envía al destino.
- IDPS: sistema de detección y prevención de intrusiones en la red (IDPS) que permite supervisar la actividad malintencionada de la red, registrar información sobre esta actividad, notificarla y, opcionalmente, intentar bloquearla.
- Filtrado de direcciones URL: extiende la funcionalidad de filtrado de nombres de dominio completos de Azure Firewall para tener en cuenta una dirección URL completa. Por ejemplo,
www.contoso.com/a/cen lugar dewww.contoso.com. - Categorías web: los administradores pueden permitir o denegar el acceso de los usuarios a categorías de sitios web como, por ejemplo, sitios web de apuestas, de redes sociales u otros.
La inspección de TLS
El protocolo TLS (Seguridad de la capa de transporte) proporciona principalmente criptografía para lograr privacidad, integridad y autenticidad mediante certificados entre dos, o más, aplicaciones que hayan establecido comunicación. Se ejecuta en el nivel de aplicación y se usa profusamente para cifrar el protocolo HTTP.
El tráfico cifrado tiene un posible riesgo de seguridad y puede ocultar la actividad ilícita de los usuarios y el tráfico malintencionado. Azure Firewall sin la inspección de TLS (como se muestra en el diagrama siguiente) no tiene visibilidad sobre los datos que fluyen en el túnel TLS cifrado, por lo que no puede proporcionar una cobertura de protección completa.
El segundo diagrama muestra cómo Azure Firewall Premium finaliza e inspecciona las conexiones de TLS para detectar, alertar y mitigar actividades malintencionadas en HTTPS. El firewall crea realmente dos conexiones TLS dedicadas: una con el servidor web (contoso.com) y otra con el cliente. Mediante el certificado de entidad de certificación proporcionado por el cliente, se genera un certificado sobre la marcha que reemplaza el certificado de servidor web y lo comparte con el cliente para establecer la conexión TLS entre el firewall y el cliente.
Azure Firewall sin inspección de TLS: 
Azure Firewall con inspección de TLS: 
Los siguientes casos de uso son compatibles con Azure Firewall:
Inspección de TLS saliente
Para ofrecer protección contra el tráfico malintencionado que se envía desde un cliente interno hospedado en Azure a Internet.
Inspección de TLS este-oeste (incluye el tráfico que va desde o hacia una red local)
Para proteger las cargas de trabajo de Azure frente al tráfico malintencionado enviado desde dentro de Azure.
El siguiente caso de uso es compatible con Azure Web Application Firewall en Azure Application Gateway:
Inspección de TLS de entrada
Para proteger los servidores internos o las aplicaciones hospedadas en Azure frente a solicitudes malintencionadas procedentes de Internet o de cualquier red externa. Application Gateway proporciona cifrado de un extremo a otro.
Sugerencia
TLS 1.0 y 1.1 están en desuso y no tendrán soporte técnico. Se ha detectado que las versiones TLS 1.0 y 1.1 de TLS/Capa de sockets seguros (SSL) son vulnerables y, aunque todavía funcionan para permitir la compatibilidad con versiones anteriores, no se recomiendan. Migre a la versión TLS 1.2 lo antes posible.
Para más información sobre los requisitos de los certificados de la entidad de certificación intermedia de Azure Firewall Premium, consulte Certificados de Azure Firewall Premium.
IDPS
Sistema de detección y prevención de intrusiones en la red (IDPS) que permite supervisar la actividad malintencionada de la red, registrar información sobre esta actividad, notificarla y, opcionalmente, intentar bloquearla.
Azure Firewall Premium proporciona un IDPS basado en firma que permite detectar ataques rápidamente mediante la búsqueda de patrones específicos, como secuencias de bytes en el tráfico de red o las secuencias de instrucciones malintencionadas conocidas que utiliza el malware. Las firmas IDPS son aplicables al tráfico de nivel de aplicación y de nivel de red (capas 3-7), están totalmente administradas y se actualizan continuamente. IDPS se puede aplicar al tráfico entrante, de radio a radio (horizontal de derecha a izquierda) y saliente. Radio a radio (Horizontal de derecha a izquierda) incluye tráfico que va desde o hacia una red local. Puede configurar los intervalos de direcciones IP privadas de IDPS mediante la característica en vista previa Intervalos IP privados. Para obtener más información, consulte Características en vista previa de Azure Firewall.
Las firmas y los conjuntos de reglas de Azure Firewall incluyen:
- Énfasis en la aplicación de la huella digital al malware real, comando y control, kits de vulnerabilidad de seguridad y en la actividad malintencionada descontrolada que se omiten en los métodos de prevención tradicionales.
- Más de 58 000 reglas en más de 50 categorías.
- Las categorías incluyen comando y control de malware, suplantación de identidad (phishing), troyanos, redes de robots (botnets), eventos informativos, vulnerabilidades de seguridad, protocolos de red SCADA, actividad del kit de vulnerabilidades de seguridad, etc.
- Se publican entre 20 y 40 reglas nuevas o más cada día.
- Baja puntuación de falsos positivos mediante el uso de un espacio aislado de malware de última generación y el bucle de comentarios de red del sensor global.
IDPS permite detectar ataques en todos los puertos y protocolos para el tráfico no cifrado. Sin embargo, cuando hay que inspeccionar el tráfico HTTPS, Azure Firewall puede usar su funcionalidad de inspección de TLS para descifrar el tráfico y detectar mejor las actividades malintencionadas.
La lista de omisión de IDPS le permite no filtrar el tráfico a ninguna de las direcciones IP, los intervalos y las subredes especificados en la lista de omisión.
Reglas de firma de IDPS
Las reglas de firma de IDPS le permiten:
Personalice una o varias firmas, y cambie su modo a Deshabilitado, Alerta o Alertar y Denegar.
Por ejemplo, si recibe un falso positivo en el que una solicitud legítima es bloqueada por Azure Firewall debido a una firma con errores, puede utilizar el id. de la firma de los registros de reglas de red y establecer el modo IDPS en "off". Esto hace que la firma "defectuosa" se omita y resuelva el problema de falsos positivos.
Puede aplicar el mismo procedimiento de ajuste para las firmas que están creando demasiadas alertas de prioridad baja y, por lo tanto, interferir con la visibilidad de las alertas de prioridad alta.
Obtención de una visión holística de todas las 55 000 firmas
Búsqueda inteligente
Permite buscar en toda la base de datos de firmas por cualquier tipo de atributo. Por ejemplo, para buscar un CVE-ID concreto que detecte qué firmas se encargan de esta CVE, escriba el identificador en la barra de búsqueda.
Las reglas de firma de IDPS tienen las siguientes propiedades:
| Columna | Descripción |
|---|---|
| Id. de firma | Id. interno de cada firma. Este id. también se presenta en las reglas de red de Azure Firewall. |
| Modo | Indica si la firma está activa o no, y si el firewall quitará o alertará sobre el tráfico coincidente. El siguiente modo de firma puede invalidar el modo IDPS - Deshabilitada: la firma no está habilitada en el firewall. - Alertar: recibirá alertas cuando se detecte tráfico sospechoso. - Alertar y denegar: recibirá alertas y se bloqueará el tráfico sospechoso. Algunas categorías de la firma se definen como "Solo alertar", por lo que, de manera predeterminada, el tráfico que coincida con ellas no se bloqueará aunque el modo IDPS esté establecido en "Alertar y denegar". Los clientes pueden invalidar esto personalizando estas firmas específicas en el modo Alertar y denegar. Nota: Las alertas de IDPS están disponibles en el portal a través de una consulta de registro de reglas de red. |
| severity | Cada firma tiene un nivel de gravedad asociado que indica la probabilidad de que la firma sea un ataque real. - Baja: un evento anómalo es aquel que normalmente no se produce en una red o del que no se registran eventos informativos. La probabilidad de ataque es baja. - Media: la firma indica un ataque de naturaleza sospechosa. El administrador debe investigar más. - Alta: las firmas de ataque indican que se está iniciando un ataque de naturaleza grave. Hay poca probabilidad de que los paquetes tengan un propósito legítimo. |
| Dirección | Dirección del tráfico a la que se aplica la firma. - Entrada: la firma solo se aplica al tráfico que llega desde Internet y se destina al intervalo IP privado de Azure (según IANA RFC 1918). - Salida: la firma se aplica solo en el tráfico enviado desde el rango de IP privado de Azure (según IANA RFC 1918) a Internet. - Bidireccional: la firma siempre se aplica en cualquier dirección del tráfico. |
| Grupo | Nombre del grupo al que pertenece la firma. |
| Descripción | Estructurado a partir de las tres partes siguientes: - Nombre de categoría: el nombre de categoría al que pertenece la firma, tal y como se describe en Categorías de reglas de firma IDPS de Azure Firewall. - Descripción del alto nivel de la firma - CVE-ID (opcional) en el caso de que la firma esté asociada a una CVE específica. El id. se muestra aquí. |
| Protocolo | Protocolo asociado a la firma. |
| Puertos de origen y destino | Puertos asociados a esta firma. |
| Última actualización | La última fecha en que se introdujo o modificó esta firma. |
Filtrado para direcciones URL
El filtrado de direcciones URL extiende la funcionalidad de filtrado de nombres de dominio completos de Azure Firewall para que tenga en cuenta direcciones URL completas. Por ejemplo, www.contoso.com/a/c en lugar de www.contoso.com.
El filtrado de direcciones URL se puede aplicar al tráfico HTTP y HTTPS. Cuando se inspecciona el tráfico HTTPS, Azure Firewall Premium puede usar su funcionalidad de inspección de TLS para descifrar el tráfico y extraer la dirección URL de destino para validar si se permite el acceso. La inspección de TLS requiere participación en el nivel de reglas de la aplicación. Una vez habilitada, puede usar las direcciones URL para filtrar con HTTPS.
Categorías web
Las categorías web hacen que los administradores puedan permitir o denegar el acceso de los usuarios a categorías de sitios web como, por ejemplo, sitios web de apuestas, de redes sociales u otros. Las categorías web también se incluirán en Azure Firewall Estándar, pero estarán más perfeccionadas en Azure Firewall Premium. Frente a la funcionalidad de categorías web de la SKU Estándar que coincide con la categoría basada en un nombre de dominio completo, la SKU Prémium coincide con la categoría según la dirección URL completa tanto para el tráfico HTTP como para el HTTPS.
Por ejemplo, si Azure Firewall intercepta una solicitud HTTPS para www.google.com/news, se espera la siguiente categorización:
Firewall Estándar: solo se examinará la parte del nombre de dominio completo, por lo que
www.google.comse clasificará como Motor de búsqueda.Firewall Prémium: se examinará la dirección URL completa, por lo que se
www.google.com/newsclasificará como Noticias.
Las categorías se organizan en función de la gravedad en Responsabilidad, Ancho de banda alto, Uso empresarial, Pérdida de productividad, Navegación general y Sin categoría. Para obtener una descripción detallada de las categorías web, vea Categorías web de Azure Firewall.
Registro de categorías web
Puede ver el tráfico filtrado por Categorías web en los registros de aplicaciones. El campo Categorías web solo se muestra si se ha configurado explícitamente en las reglas de aplicación de directivas de firewall. Por ejemplo, si no dispone de una regla que deniegue explícitamente los motores de búsqueda y un usuario solicita ir a www.bing.com, solo se muestra un mensaje de denegación predeterminado en lugar de un mensaje de categorías web. Esto se debe a que la categoría web no se configuró explícitamente.
Excepciones de las categorías
Puede crear excepciones a las reglas de la categoría web. Cree una colección de reglas de permiso o denegación independiente con una prioridad más alta dentro del grupo de recopilación de reglas. Por ejemplo, puede configurar una colección de reglas que permita www.linkedin.com con prioridad 100, con una colección de reglas que deniegue las redes sociales con prioridad 200. Esto crea la excepción para la categoría web Redes sociales predefinida.
Búsqueda de categorías web
Puede identificar a qué categoría corresponden un FQDN o una dirección URL determinados mediante la característica de comprobación de categorías web. Para usarlo, seleccione la pestaña Categorías web en Configuración de directiva de firewall. Esto resulta útil al definir las reglas de aplicación del tráfico de destino.
Cambio de categoría
En la pestaña Categorías web de Configuración de directiva de firewall, puede solicitar un cambio de categorización si:
Cree que un FQDN o una dirección URL deben estar en otra categoría
o bien
Tiene una categoría sugerida para un FQDN o una dirección URL sin categoría
Una vez que envíe un informe de cambio de categoría, se le proporcionará un token en las notificaciones que indican que hemos recibido la solicitud de procesamiento. Puede comprobar si la solicitud está en curso, denegada o aprobada si escribe el token en la barra de búsqueda. Asegúrese de guardar el id. de token para hacerlo.
Regiones admitidas
Para ver las regiones admitidas para Azure Firewall, consulte Productos de Azure disponibles por región.