Revisión del Marco de buena arquitectura de Azure: Azure Firewall
En este artículo se proporcionan recomendaciones arquitectónicas para Azure Firewall. La guía se basa en los cinco pilares de excelencia de la arquitectura:
- Confiabilidad
- Seguridad
- Optimización de costos
- Excelencia operativa
- Eficiencia del rendimiento
Suponemos que tiene conocimientos prácticos de Azure Firewall y que están bien versados con sus características. Para obtener más información, consulte Azure Firewall Información general.
Requisitos previos
- Comprender los pilares de Azure Well-Architected Framework puede ayudar a generar una arquitectura en la nube de alta calidad, estable y eficaz. Revise la carga de trabajo mediante la evaluación de revisión del marco bien diseñado .
- Use una arquitectura de referencia para revisar las consideraciones en función de las instrucciones proporcionadas en este artículo. Comience con la aplicación web protegida por red con conectividad privada a almacenes de datos paaS e implemente una red híbrida segura.
Confiabilidad
Para obtener información sobre cómo Azure Firewall admite cargas de trabajo de forma confiable, consulte los artículos siguientes:
- Introducción a Azure Firewall
- Inicio rápido: Implementación de Azure Firewall con zonas de disponibilidad
- Configuración de Azure Firewall en un centro de Virtual WAN
Diseño de una lista de comprobación
A medida que toma decisiones de diseño para Azure Firewall, revise los principios de diseño para la confiabilidad.
- Implemente Azure Firewall en redes virtuales de concentrador o como parte de azure Virtual WAN hubs.
- Aproveche Availability Zones resistencia.
- Cree Azure Firewall estructura de directivas.
- Revise la lista De problemas conocidos.
- Supervise Azure Firewall estado de mantenimiento.
Nota
Existen diferencias en la disponibilidad de los servicios de red entre el modelo de concentrador tradicional & spoke y Virtual WAN concentradores protegidos administrados. Por ejemplo, en un centro de Virtual WAN, la dirección IP pública de Azure Firewall no se puede tomar de un prefijo de DIRECCIÓN IP pública y no puede tener habilitada la protección contra DDoS. La selección de uno u otro modelo debe tener en cuenta los requisitos de los cinco pilares del marco de Well-Architected.
Recomendaciones
Explore la tabla siguiente de recomendaciones para optimizar la configuración de Azure Firewall para la confiabilidad.
| Recomendación | Prestación |
|---|---|
| Use Azure Firewall Manager con topologías de red de & hub tradicionales o azure Virtual WAN para implementar y administrar instancias de Azure Firewall. | Cree fácilmente arquitecturas en estrella tipo hub-and-spoke y transitivas con servicios de seguridad nativos para la protección y gobernanza del tráfico. Para más información sobre las topologías de red, consulte la documentación de Azure Cloud Adoption Framework. |
| Cree directivas de Azure Firewall para controlar la posición de seguridad en entornos de red globales. Asigne directivas a todas las instancias de Azure Firewall. | Azure Firewall Directivas se pueden organizar en una estructura jerárquica para superponer una directiva base central. Permita que las directivas pormenorizadas cumplan los requisitos de regiones específicas. Delegar directivas de firewall incrementales en equipos de seguridad locales mediante el control de acceso basado en rol (RBAC). Algunas opciones son específicas por instancia, por ejemplo, reglas DNAT y configuración de DNS, y es posible que se necesiten varias directivas especializadas. |
| Migre Azure Firewall reglas clásicas a directivas de Azure Firewall Manager para implementaciones existentes. | En el caso de las implementaciones existentes, migre Azure Firewall reglas a directivas de Azure Firewall Manager. Use Azure Firewall Manager para administrar de forma centralizada los firewalls y las directivas. Para obtener más información, consulte Migración a Azure Firewall Premium. |
| Revise la lista de problemas conocidos de Azure Firewall. | Azure Firewall grupo de productos mantiene una lista actualizada de problemas conocidos en esta ubicación. Esta lista contiene información importante relacionada con el comportamiento por diseño, correcciones en construcción, limitaciones de plataforma, junto con posibles soluciones alternativas o mitigaciones. |
| Asegúrese de que la directiva de Azure Firewall cumple los límites y recomendaciones de Azure Firewall. | Hay límites en la estructura de directivas, incluidos los números de reglas y grupos de recopilación de reglas, el tamaño total de la directiva, los destinos de origen o destino. Asegúrese de redactar la directiva y permanecer detrás de los umbrales documentados. |
| Implemente Azure Firewall en varias zonas de disponibilidad para un acuerdo de nivel de servicio (SLA) superior. | Azure Firewall proporciona acuerdos de nivel de servicio diferentes cuando se implementa en una sola zona de disponibilidad y cuando se implementa en varias zonas. Para más información, vea SLA para Azure Firewall. Para obtener información sobre todos los SLA de Azure, consulte Resumen del Acuerdo de Nivel de Servicio para los servicios de Azure. |
| En entornos de varias regiones, implemente una instancia de Azure Firewall por región. | En el caso de las arquitecturas tradicionales de Hub & Spokes, los detalles de varias regiones se explican en este artículo. En el caso de los centros virtuales protegidos (Azure Virtual WAN), la intención y las directivas de enrutamiento deben configurarse para proteger las comunicaciones entre centros de conectividad y rama a rama. En el caso de las cargas de trabajo diseñadas para ser resistentes a errores y tolerantes a errores, recuerde tener en cuenta que las instancias de Azure Firewall y Azure Virtual Network como recursos regionales. |
| Supervise Azure Firewall métricas y Resource Health estado. | Supervise detenidamente el indicador de métricas clave de Azure Firewall estado de mantenimiento, como rendimiento, estado de mantenimiento del firewall, uso del puerto SNAT y métricas de sondeo de latencia de AZFW. Además, ahora Azure Firewall se integra con Azure Resource Health. Con la comprobación de Azure Firewall Resource Health, ahora puede ver el estado de mantenimiento de la Azure Firewall y solucionar problemas de servicio que podrían afectar al recurso de Azure Firewall. |
Azure Advisor lo ayuda a garantizar y mejorar la continuidad de las aplicaciones empresariales críticas. Revise las recomendaciones de Azure Advisor.
Seguridad
La seguridad constituye uno de los aspectos más importantes de cualquier arquitectura. Azure Firewall es un servicio de seguridad de firewall inteligente que proporciona protección contra amenazas para las cargas de trabajo en la nube que se ejecutan en Azure.
Diseño de una lista de comprobación
A medida que tome decisiones de diseño para Azure Firewall, revise los principios de diseño para la seguridad.
- Determine si necesita tunelización forzada.
- Cree reglas para directivas basadas en criterios de acceso con privilegios mínimos.
- Aproveche la inteligencia sobre amenazas.
- Habilite Azure Firewall proxy DNS.
- Dirigir el tráfico de red a través de Azure Firewall.
- Determine si desea usar proveedores de seguridad como servicio (SECaaS) de terceros.
- Proteja sus Azure Firewall direcciones IP públicas con DDoS.
Recomendaciones
Explore la tabla siguiente de recomendaciones para optimizar la configuración de Azure Firewall para la seguridad.
| Recomendación | Prestación |
|---|---|
| Si es necesario para enrutar todo el tráfico enlazado a Internet a un próximo salto designado en lugar de ir directamente a Internet, configure Azure Firewall en modo de tunelización forzada (no se aplica a Azure Virtual WAN). | Azure Firewall debe tener conectividad directa a Internet. Si AzureFirewallSubnet aprende una ruta predeterminada a la red local a través del Protocolo de puerta de enlace de borde, debe configurar Azure Firewall en el modo de tunelización forzada. Con la característica de tunelización forzada, necesitará otro espacio de direcciones /26 para la subred de administración de Azure Firewall. Debe asignarle el nombre AzureFirewallManagementSubnet. Si se trata de una instancia de Azure Firewall existente que no se puede volver a configurar en el modo de tunelización forzada, cree una UDR con una ruta 0.0.0.0/0. Establezca el valor NextHopType como Internet. Asócielo a AzureFirewallSubnet para mantener la conectividad a Internet. |
| Establezca la dirección IP pública en Ninguno para implementar un plano de datos totalmente privado al configurar Azure Firewall en el modo de tunelización forzada (no se aplica a Azure Virtual WAN). | Al implementar una nueva instancia de Azure Firewall, si habilita el modo de tunelización forzada, puede establecer la dirección IP pública en None para implementar un plano de datos totalmente privado. Sin embargo, el plano de administración sigue necesitando una dirección IP pública solo para fines de administración. El tráfico interno de las redes virtuales y locales no usará esa dirección IP pública. Para obtener más información sobre la tunelización forzada, consulte Azure Firewall tunelización forzada. |
| Cree reglas para las directivas de firewall en función de los criterios de acceso con privilegios mínimos. | Azure Firewall directivas se pueden organizar en una estructura jerárquica para superponer una directiva base central. Permita que las directivas pormenorizadas cumplan los requisitos de regiones específicas. Cada directiva puede contener diferentes conjuntos de reglas DNAT, Red y Aplicación con prioridad específica, acción y orden de procesamiento. Cree las reglas basadas en el acceso con privilegios mínimos Confianza cero principio . En este artículo se explica cómo se procesan las reglas. |
| Habilite la inteligencia sobre amenazas en Azure Firewall en modo de alerta y denegación. | Puede habilitar el filtrado basado en inteligencia sobre amenazas para que el firewall alerte y deniegue el tráfico desde o hacia dominios y direcciones IP desconocidos. La direcciones IP y los dominios proceden de la fuente de inteligencia sobre amenazas de Microsoft. Intelligent Security Graph impulsa la inteligencia sobre amenazas de Microsoft y se usa en varios servicios, incluidos Microsoft Defender for Cloud. |
| Habilite IDPS en modo de alerta o alerta y denegación . | IDPS es una de las características de seguridad de Azure Firewall (Premium) más eficaces y debe estar habilitada. En función de los requisitos de seguridad y aplicación, y teniendo en cuenta el impacto en el rendimiento (consulte la sección Costo a continuación), se pueden seleccionar los modos alerta o alerta y denegación . |
| Habilite la configuración del proxy de Azure Firewall (DNS). | Al habilitar esta característica, los clientes de las redes virtuales Azure Firewall como servidor DNS. Protegerá la infraestructura DNS interna a la que no se accederá directamente y se expondrá. Azure Firewall también debe configurarse para usar DNS personalizado que se usará para reenviar consultas DNS. |
| Configure rutas definidas por el usuario (UDR) para forzar el tráfico a través de Azure Firewall. | En una arquitectura tradicional de hubs & spokes, configure udR para forzar el tráfico a través de Azure Firewall para SpoketoSpokela conectividad , SpoketoInternety SpoketoHybrid . En Azure Virtual WAN, en su lugar, configure la intención y las directivas de enrutamiento para redirigir el tráfico privado o a Internet a través de la instancia de Azure Firewall integrada en el centro. |
| Restringir el uso de direcciones IP públicas vinculadas directamente a Virtual Machines | Para evitar que el tráfico pase el firewall, se debe restringir la asociación de direcciones IP públicas a las interfaces de red de máquina virtual. En el modelo de Azure Cloud Adoption Framework (CAF), se asigna un Azure Policy específico al grupo de administración corp. |
| Si no es posible aplicar udR y solo se requiere el redireccionamiento del tráfico web, considere la posibilidad de usar Azure Firewall como proxy explícito. | Con la característica de proxy explícita habilitada en la ruta de acceso de salida, puede configurar un valor de proxy en la aplicación web de envío (por ejemplo, un explorador web) con Azure Firewall configurado como proxy. Como resultado, el tráfico web llegará a la dirección IP privada del firewall y, por tanto, se salida directamente desde el firewall sin usar una UDR. Esta característica también facilita el uso de varios firewalls sin modificar las rutas de red existentes. |
| Configure proveedores de seguridad de software como servicio (SaaS) de terceros compatibles en Firewall Manager si desea usar estas soluciones para proteger las conexiones salientes. | Puede usar sus ofertas conocidas de SECaaS de terceros y conocidas para proteger el acceso a Internet para sus usuarios. Este escenario requiere azure Virtual WAN con un VPN Gateway S2S en el centro, ya que usa un túnel IPSec para conectarse a la infraestructura del proveedor. Los proveedores de SECaaS pueden cobrar tarifas de licencia adicionales y limitar el rendimiento en las conexiones IPSec. Existen soluciones alternativas como ZScaler Cloud Connector y pueden ser más adecuadas. |
| Use el filtrado de nombre de dominio completo (FQDN) en las reglas de red. | Puede usar el FQDN en función de la resolución DNS en Azure Firewall y directivas de firewall. Esta funcionalidad permite filtrar el tráfico saliente con cualquier protocolo TCP/UDP (incluidos NTP, SSH, RDP y mucho más). Debe habilitar la configuración del proxy DNS de Azure Firewall para usar FQDN en las reglas de red. Para obtener información sobre cómo funciona, consulte Azure Firewall filtrado de FQDN en reglas de red. |
| Use etiquetas de servicio en reglas de red para habilitar el acceso selectivo a servicios específicos de Microsoft. | Una etiqueta de servicio representa un grupo de prefijos de direcciones IP que ayudan a reducir la complejidad de la creación de reglas de seguridad. Mediante el uso de etiquetas de servicio en reglas de red, es posible habilitar el acceso saliente a servicios específicos en Azure, Dynamics y Office 365 sin abrir una amplia gama de direcciones IP. Azure mantendrá automáticamente la asignación entre estas etiquetas y las direcciones IP subyacentes que usa cada servicio. La lista de etiquetas de servicio disponibles para Azure Firewall se enumeran aquí: Az Firewall Service Tags. |
| Use etiquetas FQDN en reglas de aplicación para habilitar el acceso selectivo a servicios específicos de Microsoft. | Una etiqueta FQDN representa un grupo de nombres de dominio completos (FQDN) asociados a servicios conocidos de Microsoft. Puede usar una etiqueta FQDN en las reglas de aplicación para permitir el tráfico de red saliente necesario a través del firewall para algunos servicios específicos de Azure, Office 365, Windows 365 e Intune. |
| Use Azure Firewall Manager para crear y asociar un plan de protección contra DDoS a la red virtual del centro de conectividad (no se aplica a Azure Virtual WAN). | Un plan de protección contra DDoS proporciona características de mitigación mejoradas para defender el firewall frente a ataques DDoS. Azure Firewall Manager es una herramienta integrada para crear la infraestructura de firewall y los planes de protección contra DDoS. Para más información, consulte Configuración de un plan de Azure DDoS Protection mediante Azure Firewall Manager. |
| Use una PKI empresarial para generar certificados para la inspección de TLS. | Con Azure Firewall Premium, si se usa la característica inspección de TLS, se recomienda aprovechar una entidad de certificación (CA) empresarial interna para el entorno de producción. Los certificados autofirmados solo se deben usar para fines de prueba o prueba de concepto. |
| Revise Zero-Trust guía de configuración de Azure Firewall y Application Gateway | Si los requisitos de seguridad requieren implementar un enfoque de Zero-Trust para aplicaciones web (inspección y cifrado), se recomienda seguir esta guía. En este documento, se explicará cómo integrar Azure Firewall y Application Gateway en escenarios tradicionales & Spoke y Virtual WAN. |
Azure Advisor lo ayuda a garantizar y mejorar la continuidad de las aplicaciones empresariales críticas. Revise las recomendaciones de Azure Advisor.
Definiciones de directiva
Las interfaces de red no deben tener direcciones IP públicas. Esta directiva deniega las interfaces de red que están configuradas con cualquier dirección IP pública. Las direcciones IP públicas permiten la comunicación entrante de los recursos de Internet con los recursos de Azure y la comunicación saliente de los recursos de Azure con Internet.
Todo el tráfico de Internet debe enrutarse a través de la Azure Firewall implementada. Azure Security Center ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible.
La directiva de Azure Firewall debe habilitar la inspección de TLS dentro de las reglas de aplicación. Se recomienda habilitar la inspección de TLS para que todas las reglas de aplicación detecten, alerten y mitiguen la actividad malintencionada en HTTPS. Para más información sobre la inspección de TLS con Azure Firewall, visite https://aka.ms/fw-tlsinspect.
Azure Firewall Premium debe configurar un certificado intermedio válido para habilitar la inspección de TLS. Configure un certificado intermedio válido y habilite la inspección de TLS de Azure Firewall Premium para detectar, mitigar y alertar por actividad malintencionada en HTTPS. Para más información sobre la inspección de TLS con Azure Firewall, visite https://aka.ms/fw-tlsinspect.
La lista de omisión del sistema de detección y prevención de intrusiones (IDPS) debe estar vacía en Firewall Policy Premium. La lista de omisión del Sistema de detección y prevención de intrusiones (IDPS) le permite no filtrar el tráfico a ninguna de las direcciones IP, los intervalos y las subredes especificados en la lista de omisión. Sin embargo, se recomienda habilitar IDPS para que todos los flujos de tráfico identifiquen mejor las amenazas conocidas. Para obtener más información sobre las firmas del Sistema de detección y prevención de intrusiones (IDPS) con Azure Firewall Premium, visite https://aka.ms/fw-idps-signature.
La directiva de firewall Premium debe habilitar todas las reglas de firma IDPS para supervisar todos los flujos de tráfico entrantes y salientes. Se recomienda habilitar todas las reglas de firma del Sistema de detección y prevención de intrusiones (IDPS) para identificar mejor las amenazas conocidas en los flujos de tráfico. Para obtener más información sobre las firmas del Sistema de detección y prevención de intrusiones (IDPS) con Azure Firewall Premium, visite https://aka.ms/fw-idps.
La directiva de firewall Premium debe habilitar el sistema de detección y prevención de intrusiones (IDPS). Activar el Sistema de detección y prevención de intrusiones en la red (IDPS) que permite supervisar la actividad malintencionada de la red, registrar información sobre esta actividad, notificarla y, opcionalmente, intentar bloquearla. Para obtener más información sobre el Sistema de detección y prevención de intrusiones (IDPS) con Azure Firewall Premium, visite https://aka.ms/fw-idps.
La suscripción debe configurar la Azure Firewall Premium para proporcionar una capa adicional de protección. Azure Firewall Premium proporciona una protección contra amenazas avanzada que satisface las necesidades de entornos altamente confidenciales y regulados. Implemente Azure Firewall Premium en su suscripción y asegúrese de que todo el tráfico del servicio está protegido por Azure Firewall Premium. Para obtener más información sobre Azure Firewall Premium, visite https://aka.ms/fw-premium.
Todas las definiciones de directivas integradas relacionadas con las redes de Azure se enumeran en Directivas integradas: red.
Optimización de costos
La optimización de costos trata de buscar formas de reducir los gastos innecesarios y mejorar las eficiencias operativas.
Diseño de una lista de comprobación
A medida que tome decisiones de diseño para Azure Firewall, revise los principios de diseño para la optimización de costos.
- Seleccione la SKU de Azure Firewall que se va a implementar.
- Determine si algunas instancias no necesitan una asignación permanente de 24 x 7.
- Determine dónde puede optimizar el uso del firewall entre cargas de trabajo.
- Supervise y optimice el uso de instancias de firewall para determinar la rentabilidad.
- Revise y optimice el número de direcciones IP públicas necesarias y directivas usadas.
- Revise los requisitos de registro, calcule el costo y el control con el tiempo.
Recomendaciones
Explore la tabla siguiente de recomendaciones para optimizar la configuración de Azure Firewall para la optimización de costos.
| Recomendación | Prestación |
|---|---|
| Implemente la SKU de Azure Firewall adecuada. | Azure Firewall se puede implementar en tres SKU diferentes: Básico, Estándar y Premium. Se recomienda Azure Firewall Premium para proteger aplicaciones altamente confidenciales (como el procesamiento de pagos). Azure Firewall estándar se recomienda para los clientes que buscan firewall de nivel 3 a nivel 7 y necesitan escalado automático para controlar los períodos de tráfico máximos de hasta 30 Gbps. Se recomienda Azure Firewall Básico para los clientes de pymes con necesidades de rendimiento de 250 Mbps. Si es necesario, la degradación o actualización es posible entre Standard y Premium, tal y como se documenta aquí. Para obtener más información, consulte Elegir la SKU Azure Firewall adecuada para satisfacer sus necesidades. |
| Detenga Azure Firewall implementaciones que no necesiten ejecutarse para 24 x 7. | Es posible que tenga entornos de desarrollo o pruebas que solo se usen durante el horario comercial. Para obtener más información, consulte Desasignar y asignar Azure Firewall. |
| Comparta la misma instancia de Azure Firewall entre varias cargas de trabajo y Azure Virtual Networks. | Puede usar una instancia central de Azure Firewall en la red virtual del concentrador o Virtual WAN centro seguro y compartir el mismo firewall en muchas redes virtuales radiales que están conectadas al mismo centro desde la misma región. Asegúrese de que no haya tráfico inesperado entre regiones como parte de la topología en estrella tipo hub-spoke. |
| Revise periódicamente el tráfico procesado por Azure Firewall y busque optimizaciones de cargas de trabajo de origen. | El registro de flujos principales (conocido en el sector como Fat Flows), muestra las principales conexiones que contribuyen al rendimiento más alto a través del firewall. Se recomienda revisar periódicamente el tráfico procesado por el Azure Firewall y buscar posibles optimizaciones para reducir la cantidad de tráfico que atraviesa el firewall. |
| Revise las instancias de Azure Firewall infrautilizadas. Identifique y elimine implementaciones de Azure Firewall sin usar. | Para identificar las implementaciones de Azure Firewall sin usar, empiece por analizar las métricas de supervisión y las UDR asociadas a subredes que apuntan a la dirección IP privada del firewall. Combine esa información con otras validaciones, como si la instancia de Azure Firewall tiene alguna regla (clásica) para NAT, Red y Aplicación, o incluso si la configuración del proxy DNS está configurada en Deshabilitado y con documentación interna sobre el entorno y las implementaciones. Puede detectar implementaciones que son rentables a lo largo del tiempo. Para más información sobre la supervisión de registros y métricas, consulte Supervisión de registros y métricas Azure Firewall yuso de puertos SNAT. |
| Use Azure Firewall Manager y sus directivas para reducir los costos operativos, aumentar la eficiencia y reducir la sobrecarga de administración. | Revise detenidamente las directivas, las asociaciones y la herencia de Firewall Manager. Las directivas se facturan en función de las asociaciones del firewall. Una directiva con una o cero asociaciones de firewall es gratuita. Una directiva con varias asociaciones de firewall se factura según una tarifa fija. Para obtener más información, consulte Precios: Azure Firewall Manager. |
| Elimine las direcciones IP públicas no utilizadas. | Valide si todas las direcciones IP públicas asociadas están en uso. Si no están en uso, desasocie y elimínelos. Evalúe el uso del puerto SNAT antes de quitar las direcciones IP. Solo usará el número de direcciones IP públicas que necesita el firewall. Para obtener más información, consulte Supervisión de registros y métricas de Azure Firewall y uso de puertos SNAT. |
| Revise los requisitos de registro. | Azure Firewall tiene la capacidad de registrar de forma completa los metadatos de todo el tráfico que ve, en áreas de trabajo de Log Analytics, almacenamiento o soluciones de terceros a través de Event Hubs. Sin embargo, todas las soluciones de registro incurren en costos de procesamiento y almacenamiento de datos. En volúmenes muy grandes, estos costos pueden ser significativos, un enfoque rentable y una alternativa a Log Analytics se deben considerar y estimar los costos. Considere si es necesario registrar metadatos de tráfico para todas las categorías de registro y modificarlos en Configuración de diagnóstico si es necesario. |
Para obtener más sugerencias, consulte Lista de comprobación de revisión de diseño para la optimización de costos.
Azure Advisor lo ayuda a garantizar y mejorar la continuidad de las aplicaciones empresariales críticas. Revise las recomendaciones de Azure Advisor.
Excelencia operativa
La supervisión y el diagnóstico son fundamentales. Puede medir las estadísticas de rendimiento y las métricas para solucionar problemas y corregirlos rápidamente.
Diseño de una lista de comprobación
A medida que toma decisiones de diseño para Azure Firewall, revise los principios de diseño para la excelencia operativa.
- Mantenga el inventario y la copia de seguridad de Azure Firewall configuración y directivas.
- Aproveche los registros de diagnóstico para la supervisión y la solución de problemas del firewall.
- Aproveche Azure Firewall libro de supervisión.
- Revise periódicamente la información y el análisis de las directivas.
- Integre Azure Firewall con Microsoft Defender for Cloud y Microsoft Sentinel.
Recomendaciones
Explore la tabla siguiente de recomendaciones para optimizar la configuración de Azure Firewall para la excelencia operativa.
| Recomendación | Prestación |
|---|---|
| No use Azure Firewall para el control de tráfico dentro de la red virtual. | Azure Firewall se debe usar para controlar el tráfico entre redes virtuales, entre redes virtuales y redes locales, el tráfico saliente a Internet y el tráfico entrante que no sea HTTP/s. Para el control de tráfico dentro de la red virtual, se recomienda usar grupos de seguridad de red. |
| Mantenga copias de seguridad periódicas de los artefactos de Azure Policy. | Si se usa el enfoque infraestructura como código (IaC) para mantener Azure Firewall y todas las dependencias, la copia de seguridad y el control de versiones de Azure Firewall Directivas deben estar ya en vigor. Si no es así, se puede implementar un mecanismo complementario basado en la aplicación lógica externa para automatizar y proporcionar una solución eficaz. |
| Habilite los registros de diagnóstico para Azure Firewall. | Los registros de diagnóstico son un componente clave para muchas herramientas y estrategias de supervisión para Azure Firewall y deben habilitarse. Puede supervisar Azure Firewall mediante registros de firewall o libros. También puede usar registros de actividad para realizar operaciones de auditoría en recursos de Azure Firewall. |
| Use el formato de registros de Firewall estructurado . | Los registros de firewall estructurados son un tipo de datos de registro organizados en un nuevo formato específico. Utilizan un esquema predefinido para estructurar los datos de registro de forma que sea fácil buscarlos, filtrarlos y analizarlos. Las herramientas de supervisión más recientes se basan en este tipo de registros, por lo que a menudo es un requisito previo. Use el formato de registros de diagnóstico anterior solo si hay una herramienta existente con un requisito previo. No habilite ambos formatos de registro al mismo tiempo. |
| Use el libro de supervisión de Azure Firewall integrado. | Azure Firewall experiencia del portal ahora incluye un nuevo libro en la interfaz de usuario de la sección Supervisión, ya no se requiere una instalación independiente. Con el libro de Azure Firewall, puede extraer información valiosa de Azure Firewall eventos, profundizar en las reglas de red y la aplicación, y examinar las estadísticas relacionadas con las actividades de firewall en las direcciones URL, los puertos y las direcciones. |
| Supervise las métricas clave y cree alertas para detectar indicadores de uso de Azure Firewall capacidad. | Se deben crear alertas para supervisar al menos el rendimiento, el estado de mantenimiento del firewall, el uso del puerto SNAT y las métricas de sondeo de latencia de AZFW . Para obtener información sobre la supervisión de registros y métricas, consulte Supervisión de Azure Firewall registros y métricas. |
| Configure Azure Firewall integración con Microsoft Defender for Cloud y Microsoft Sentinel. | Si estas herramientas están disponibles en el entorno, se recomienda aprovechar la integración con soluciones de Microsoft Defender for Cloud y Microsoft Sentinel. Con Microsoft Defender para la integración en la nube, puede visualizar el estado completo de la infraestructura de red y la seguridad de red en un solo lugar, incluida la seguridad de red de Azure en todas las redes virtuales y centros virtuales distribuidos entre diferentes regiones de Azure. La integración con Microsoft Sentinel proporciona funcionalidades de detección y prevención de amenazas. |
| Revise periódicamente el panel de Análisis de directivas para identificar posibles problemas. | Policy Analytics es una nueva característica que proporciona información sobre el impacto de las directivas de Azure Firewall. Le ayuda a identificar posibles problemas (alcanzar límites de directiva, reglas de uso bajo, reglas redundantes, reglas demasiado genéricas, recomendación de uso de grupos de IP) en las directivas y proporciona recomendaciones para mejorar el rendimiento del procesamiento de reglas y la posición de seguridad. |
| Familiarícese con las consultas de KQL (Lenguaje de consulta Kusto) para permitir un análisis rápido y la solución de problemas mediante registros de Azure Firewall. | Se proporcionan consultas de ejemplo para Azure Firewall. Estos le permitirán identificar rápidamente lo que sucede dentro del firewall y comprobar qué regla se desencadenó, o qué regla permite o bloquea una solicitud. |
Azure Advisor lo ayuda a garantizar y mejorar la continuidad de las aplicaciones empresariales críticas. Revise las recomendaciones de Azure Advisor.
Eficiencia del rendimiento
La eficiencia del rendimiento es la capacidad de la carga de trabajo para escalar para satisfacer de forma eficaz las demandas que los usuarios han puesto en él.
Diseño de una lista de comprobación
A medida que toma decisiones de diseño para Azure Firewall, revise los principios de diseño para mejorar la eficiencia del rendimiento.
- Revise y optimice periódicamente las reglas de firewall.
- Revise los requisitos y las oportunidades de directiva para resumir los intervalos IP y la lista de direcciones URL.
- Evalúe los requisitos del puerto SNAT.
- Planee pruebas de carga para probar el rendimiento de escalado automático en su entorno.
- No habilite las herramientas de diagnóstico ni el registro si no es necesario.
Recomendaciones
Explore la tabla siguiente de recomendaciones para optimizar la configuración de Azure Firewall para mejorar la eficiencia del rendimiento.
| Recomendación | Prestación |
|---|---|
| Use el panel de Análisis de directivas para identificar posibles optimizaciones para las directivas de firewall. | Policy Analytics es una nueva característica que proporciona información sobre el impacto de las directivas de Azure Firewall. Le ayuda a identificar posibles problemas (alcanzar límites de directiva, reglas de uso bajo, reglas redundantes, reglas demasiado genéricas, recomendación de uso de grupos de IP) en las directivas y proporciona recomendaciones para mejorar el rendimiento del procesamiento de reglas y la posición de seguridad. |
| En el caso de las directivas de firewall con conjuntos de reglas grandes, coloque las reglas que se usan con más frecuencia al principio del grupo para optimizar la latencia. | Las reglas se procesan en función del tipo de regla, la herencia, la prioridad del grupo de recopilación de reglas y la prioridad de la colección de reglas. Los grupos de colecciones de reglas de prioridad más alta se procesan en primer lugar. Dentro de un grupo de recopilación de reglas, primero se procesan las colecciones de reglas con prioridad más alta. La colocación de las reglas más usadas en el conjunto de reglas optimizará la latencia de procesamiento. En este artículo se explica cómo se procesan y evalúan las reglas. |
| Use grupos IP para resumir los intervalos de direcciones IP. | Puede usar grupos de DIRECCIONES IP para resumir los intervalos IP, por lo que no supera el límite de reglas de red de origen o destino únicas. Para cada regla, Azure multiplica los puertos por direcciones IP. Por lo tanto, si tiene una regla con cuatro intervalos de direcciones IP y cinco puertos, consumirá 20 reglas de red. El grupo ip se trata como una única dirección para crear reglas de red. |
| Considere las categorías web para permitir o denegar el acceso saliente de forma masiva. | En lugar de crear y mantener explícitamente una larga lista de sitios públicos de Internet, considere el uso de Azure Firewall categorías web. Esta característica clasificará dinámicamente el contenido web y permitirá la creación de reglas de aplicación compactas. |
| Evalúe el impacto en el rendimiento de IDPS en el modo de alerta y denegación . | Si Azure Firewall es necesario para funcionar en modo IDPSAlerta y denegación, considere cuidadosamente el impacto en el rendimiento como se documenta en esta página. |
| Evalúe el posible problema de agotamiento de puertos SNAT. | Azure Firewall admite actualmente 2496 puertos por cada dirección IP pública por cada instancia de conjunto de escalado de máquinas virtuales de back-end. De manera predeterminada, hay dos instancias de conjunto de escalado de máquinas virtuales. Por lo tanto, hay 4992 puertos por IP de destino de flujo, puerto de destino y protocolo (TCP o UDP). El firewall se escala verticalmente hasta un máximo de 20 instancias. Como solución alternativa para los límites, puede configurar las implementaciones de Azure Firewall con un mínimo de cinco direcciones IP públicas para implementaciones susceptibles de agotamiento de SNAT. |
| Preparación correcta Azure Firewall antes de cualquier prueba de rendimiento. | Cree el tráfico inicial que no forme parte de las pruebas de carga 20 minutos antes de la prueba. Use la configuración de diagnóstico para capturar eventos de escalado y reducción vertical. Puede usar el servicio Azure Load Testing para generar el tráfico inicial. Permite que la instancia de Azure Firewall escale verticalmente sus instancias al máximo. |
| Configure una subred de Azure Firewall (AzureFirewallSubnet) con un espacio de direcciones /26. | Azure Firewall es una implementación dedicada en la red virtual. Dentro de la red virtual, se requiere una subred dedicada para la instancia de Azure Firewall. Azure Firewall aprovisiona más capacidad a medida que se escala. Un espacio de direcciones /26 para sus subredes garantiza que el firewall tiene suficientes direcciones IP disponibles para acomodar el escalado. Azure Firewall no necesita una subred mayor que /26. El nombre de Azure Firewall subred debe ser AzureFirewallSubnet. |
| No habilite el registro avanzado si no es necesario. | Azure Firewall proporciona algunas funcionalidades avanzadas de registro que pueden resultar costosas de mantener siempre activas. En su lugar, deben usarse solo para solucionar problemas y limitarse en duración y, a continuación, deshabilitarse cuando no sea necesario. Por ejemplo, los flujos principales y los registros de seguimiento de flujo son costosos puede provocar un uso excesivo de CPU y almacenamiento en la infraestructura de Azure Firewall. |
Azure Advisor lo ayuda a garantizar y mejorar la continuidad de las aplicaciones empresariales críticas. Revise las recomendaciones de Azure Advisor.
Recomendaciones de Azure Advisor
Azure Advisor es un consultor en la nube personalizado que ayuda a seguir los procedimientos recomendados para optimizar las implementaciones de Azure. Todavía no hay ninguna recomendación específica de Advisor Azure Firewall. Se pueden aplicar algunas recomendaciones generales para ayudar a mejorar la confiabilidad, la seguridad, la rentabilidad, el rendimiento y la excelencia operativa.
- Creación de alertas de Azure Service Health para recibir notificaciones cuando se produzcan problemas de Azure que le afecten
- Asegúrese de tener acceso a los expertos en la nube de Azure cuando lo necesite
- Habilitación de Análisis de tráfico para ver información detallada sobre los patrones de tráfico en los recursos de Azure
- Seguir la administración suficiente (principio de privilegios mínimos)
- Protección de los recursos de red con Microsoft Defender for Cloud
Recursos adicionales
- Documentación sobre Azure Firewall
- ¿Qué es Azure Firewall Manager?
- Azure Firewall límites, cuotas y restricciones del servicio
- Base de referencia de seguridad de Azure para Azure Firewall
Guía del Centro de arquitectura de Azure
- Introducción a la arquitectura de Azure Firewall
- Uso de Azure Firewall para ayudar a proteger un clúster de Azure Kubernetes Service (AKS)
- Uso de Azure Firewall para proteger las implementaciones de Azure Virtual Desktop (AVD)
- Uso de Azure Firewall para proteger Office 365
- Topología de red en estrella tipo hub-and-spoke en Azure
- Red de confianza cero para aplicaciones web con Azure Firewall y Application Gateway
- Implementación de una red híbrida segura
- Aplicación web con protección de red con conectividad privada a almacenes de datos de PaaS
Paso siguiente
Implemente una instancia de Azure Firewall para ver cómo funciona:
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de