Cuándo usar Azure Firewall

  • 8 minutos

Ya sabe qué es Azure Firewall y cómo funciona. Ahora necesita algunos criterios que le ayuden a evaluar si Azure Firewall y Azure Firewall Manager son opciones adecuadas para su empresa. Para ayudarle a decidir, considere los escenarios siguientes:

  • Quiere proteger la red contra infiltraciones.
  • Quiere proteger la red contra errores de los usuarios.
  • La empresa incluye pagos de comercio electrónico o de tarjeta de crédito.
  • Quiere configurar la conectividad de radio a radio.
  • Quiere supervisar el tráfico entrante y saliente.
  • La red necesita varios firewalls.
  • Quiere implementar directivas de firewall jerárquicas.

Como parte de la evaluación de Azure Firewall y Azure Firewall Manager, sabe que Contoso se enfrentó a varios de estos escenarios. Lea las secciones correspondientes siguientes para obtener más detalles.

Quiere proteger la red contra infiltraciones

Un objetivo común de muchos actores malintencionados es infiltrarse en la red. Es posible que estos intrusos quieran usar los recursos de la red o examinar, robar o destruir datos confidenciales o propietarios.

Azure Firewall está diseñado para ayudar a evitar este tipo de intrusiones. Por ejemplo, un hacker malintencionado podría intentar infiltrarse en la red solicitando acceso a un recurso de red. Azure Firewall usa la inspección con estado de los paquetes de red para examinar el contexto de esas solicitudes. Si una solicitud es una respuesta a una actividad legítima anterior, es probable que el firewall la permita; si una solicitud ha llegado aparentemente de ninguna parte, como la enviada por un infiltrado, el firewall denegaría la solicitud.

Quiere proteger la red contra errores de los usuarios

Quizás el método más común para infiltrarse en una red o instalar malware en un equipo de red consista en engañar a un usuario de la red para que haga clic en un vínculo de un mensaje de correo electrónico. Ese vínculo envía al usuario a un sitio web controlado por hackers malintencionados que instala el malware, o bien engaña al usuario para que escriba las credenciales de red.

Azure Firewall impide estos ataques mediante la inteligencia sobre amenazas para denegar el acceso a dominios y direcciones IP malintencionados conocidos.

La empresa incluye pagos de comercio electrónico o de tarjeta de crédito

¿La empresa tiene un componente de comercio electrónico o procesa los pagos en línea con tarjeta de crédito? En ese caso, la empresa debe cumplir el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI DSS). PCI DSS es un conjunto de normas de seguridad creadas y mantenidas por el Consejo de estándares de seguridad de PCI. Para lograr el cumplimiento de PCI, en PCI DSS se enumeran una docena de requisitos. Este es el primero:

  • Instalar y mantener una configuración de firewall para proteger los datos de los titulares de las tarjetas.

En PCI DSS se especifica que es necesario establecer una configuración de firewall que restrinja todo el tráfico entrante y saliente de redes y hosts que no sean de confianza. El firewall también debe denegar el resto del tráfico, excepto los protocolos necesarios para procesar las tarjetas de pago.

Quiere configurar la conectividad de radio a radio

Una topología de red de concentrador y radio típica tiene las características siguientes:

  • Una red virtual que actúa como un punto de conectividad central: el concentrador.
  • Una o varias redes virtuales que están emparejadas con el concentrador: los radios. Una red local conectada a través de un circuito ExpressRoute o una puerta de enlace de VPN también se puede considerar un radio en esta topología.

Las redes de radio pueden intercambiar datos con el concentrador, pero no se pueden comunicar directamente entre sí. Es posible que necesite una conexión directa. Por ejemplo, una red de radio puede hospedar una interfaz de programación de aplicaciones (API) que necesite información de una base de datos SQL implementada en otro radio.

Una solución consiste en emparejar las redes de radio entre sí. Esto funciona con algunas de estas conexiones, pero puede crecer rápidamente a medida que aumenta el número de conexiones.

Una solución más sencilla y segura consiste en usar Azure Firewall para configurar la conectividad directa entre los radios. Para lograr esta conectividad, implemente primero una instancia de Azure Firewall en el concentrador. Después, configure las redes virtuales de radio con rutas definidas por el usuario (UDR) que enruten específicamente los datos a través del firewall hacia el otro radio.

Network diagram of a spoke-to-spoke connection between a virtual machine and a SQL database via Azure Firewall.

Quiere supervisar el tráfico entrante y saliente

Es posible que la empresa quiera analizar informes detallados sobre el tráfico de red entrante y saliente. Hay muchas razones por las que se necesitan este tipo de informes, como el cumplimiento normativo, la aplicación de directivas de empresa sobre el uso de Internet y la solución de problemas.

Puede configurar Azure Firewall para mantener registros de diagnóstico de cuatro tipos de actividad de firewall:

  • Reglas de aplicación
  • Reglas de red
  • Información sobre amenazas
  • Proxy DNS

Por ejemplo, el registro de las reglas de aplicación del firewall podría incluir entradas como las siguientes para una solicitud saliente:

  • Solicitud HTTPS de 10.1.0.20:24352 a somewebsite.com:443. Acción: Permitir Colección de reglas: collection100. Regla: rule105

Del mismo modo, el registro de las reglas de red del firewall podría incluir entradas como las siguientes para una solicitud entrante:

  • Solicitud TCP de 73.121.236.17:12354 a 10.0.0.30:3389. Acción: Denegar

Una vez habilitado el registro de diagnóstico, podrá supervisar y analizar los registros de las siguientes maneras:

  • Puede examinar los registros directamente en su formato JSON nativo.
  • Puede examinar los registros en Azure Monitor.
  • Puede examinar y analizar los registros en el libro de Azure Firewall.

La red necesita varios firewalls

Si la superficie de Azure de la empresa abarca varias regiones de Azure, tiene varias conexiones a Internet, lo que significa que necesita una instancia de firewall implementada para cada una de estas conexiones. Podría configurar y administrar esos firewalls por separado, pero esto crea varios problemas:

  • La administración de varios firewalls supone una gran cantidad de trabajo.
  • Los cambios globales de configuración y reglas se deben propagar a todos los firewalls.
  • Es difícil mantener la coherencia entre todos los firewalls.

Azure Firewall Manager resuelve estos problemas proporcionándole una interfaz de administración central para cada instancia de Azure Firewall en todas las regiones y suscripciones de Azure. Puede crear directivas de firewall y, después, aplicarlas a todos los firewalls para mantener la coherencia. Los cambios en una directiva se propagan automáticamente a todas las instancias del firewall.

Quiere implementar directivas de firewall jerárquicas

Muchas empresas más pequeñas pueden utilizar una directiva de firewall única. Es decir, las pequeñas empresas a menudo pueden crear una única directiva de firewall que se aplique a todos los usuarios y recursos de la red.

Pero en el caso de las empresas más grandes, se necesita un enfoque más detallado. Por ejemplo, considere los dos escenarios siguientes:

  • Es posible que una tienda de DevOps tenga una red virtual para desarrollar una aplicación, otra red virtual para probarla y una tercera para la versión de producción de la aplicación.
  • Una gran empresa podría tener equipos independientes para usuarios de bases de datos, ingeniería y ventas. Cada uno de esos equipos tiene su propio conjunto de aplicaciones que se ejecutan en redes virtuales independientes.

Aunque en realidad hay reglas de firewall comunes a todas, los usuarios y los recursos de cada red virtual necesitarán reglas de firewall concretas. Por tanto, las empresas más grandes siempre necesitan directivas de firewall jerárquicas. Las directivas de firewall jerárquicas constan de estos dos componentes:

  • Una sola directiva de firewall base que implementa las reglas que deben aplicarse en toda la empresa.
  • Una o varias directivas de firewall locales que implementan reglas que son específicas de una aplicación, un equipo o un servicio concretos. Las directivas locales heredan la directiva de firewall base y, después, agregan reglas relacionadas con la aplicación, el equipo o el servicio subyacente.

Al usar Azure Firewall Manager, puede configurar una directiva de firewall base y, después, crear directivas locales que hereden la directiva base e implementen reglas específicas diseñadas para el recurso subyacente.