Cuándo usar Azure Firewall Premium
Las organizaciones pueden usar las características de Azure Firewall Premium, como el sistema de detección y prevención de intrusiones (IDPS) y la inspección de TLS, para evitar que el malware y los virus se propaguen entre redes lateral y horizontalmente. Para satisfacer las crecientes demandas de rendimiento del IDPS y de la inspección de TLS, Azure Firewall Premium usa una SKU de máquina virtual más eficaz. Al igual que la SKU Estándar, la SKU Premium se puede escalar verticalmente sin problemas hasta 30 Gbps e integrarse con zonas de disponibilidad para posibilitar un contrato de nivel de servicio (SLA) del 99,99 %. La SKU prémium cumple con las necesidades del entorno en cuanto al Estándar de seguridad de datos del sector de las tarjetas de pago (PCI DSS).
Para ayudarle a decidir si Azure Firewall Premium es adecuado para su organización, tenga en cuenta los siguientes escenarios:
Quiere inspeccionar el tráfico de red cifrado de TLS saliente
La inspección de TLS de Azure Firewall Premium puede descifrar el tráfico saliente, procesar los datos, cifrarlos y enviarlos al destino.
Azure Firewall Prémium termina las conexiones TLS de salida y horizontales de derecha a izquierda. La inspección de TLS entrante es compatible con Azure Application Gateway lo cual permite el cifrado completo. Azure Firewall realiza las funciones de seguridad de valor agregado necesarias y vuelve a cifrar el tráfico que se envía al destino original.
Quiere proteger la red mediante la detección de tráfico malintencionado basada en firmas
Un sistema de detección y prevención de intrusiones de red (IDPS) le permite supervisar la red para detectar actividades malintencionadas. También permite registrar información sobre esta actividad, notificarla y, opcionalmente, intentar bloquearla.
Azure Firewall Premium proporciona un IDPS basado en firma que permite detectar ataques rápidamente mediante la búsqueda de patrones específicos, como secuencias de bytes en el tráfico de red o las secuencias de instrucciones malintencionadas conocidas que utiliza el malware. Las firmas IDPS son aplicables para el tráfico de nivel de red y de aplicación (capas 4-7). Están totalmente administrados y se actualizan continuamente. Puede aplicar IDPS a los radios entrantes, de radio a radio (Este-Oeste) y del tráfico saliente.
Las firmas y los conjuntos de reglas de Azure Firewall incluyen:
- Énfasis en la aplicación de la huella digital al malware real, comando y control, kits de vulnerabilidad de seguridad y en la actividad malintencionada descontrolada que se omiten en los métodos de prevención tradicionales.
- Más de 55 000 reglas en más de 50 categorías.
- Las categorías incluyen comando y control de malware, ataques de DoS, redes de robots (botnets), eventos informativos, vulnerabilidades de seguridad, protocolos de red SCADA, actividad del kit de vulnerabilidades de seguridad, etc.
- Se publican entre 20 y 40 reglas nuevas o más cada día.
- Baja puntuación de falsos positivos mediante el uso de un espacio aislado de malware de última generación y el bucle de comentarios de red del sensor global.
IDPS permite detectar ataques en todos los puertos y protocolos para el tráfico no cifrado. Sin embargo, cuando hay que inspeccionar el tráfico HTTPS, Azure Firewall puede usar su funcionalidad de inspección de TLS para descifrar el tráfico y detectar mejor las actividades malintencionadas.
La lista de omisión de IDPS le permite no filtrar el tráfico a ninguna de las direcciones IP, los intervalos y las subredes especificados en la lista de omisión.
También puede usar reglas de firma cuando el modo IDPS esté establecido en Alerta. Pero hay una o varias firmas específicas que desea bloquear, incluido su tráfico asociado. En este caso, puede agregar nuevas reglas de firma estableciendo el modo de inspección de TLS en Deny.
Quiere extender la capacidad de filtrado de FQDN de Azure Firewall para tener en cuenta una dirección URL completa
Azure Firewall Premium permite filtrar por una dirección URL completa. Por ejemplo, www.contoso.com/a/c en lugar de www.contoso.com.
El filtrado de direcciones URL se puede aplicar al tráfico HTTP y HTTPS. Cuando se inspecciona el tráfico HTTPS, Azure Firewall Premium puede usar su funcionalidad de inspección de TLS para descifrar el tráfico y extraer la dirección URL de destino para validar si se permite el acceso. La inspección de TLS requiere participación en el nivel de reglas de la aplicación. Una vez habilitada, puede usar las direcciones URL para filtrar con HTTPS.
Quiere permitir o denegar el acceso en función de las categorías
La característica Categorías web permite a los administradores permitir o denegar el acceso de los usuarios a categorías de sitios web, como sitios web de juegos de apuestas, redes sociales y otros. Las categorías web también se incluyen en Azure Firewall Estándar, pero son más avanzadas en Azure Firewall Premium. Frente a la funcionalidad de categorías web de la SKU Estándar que coincide con la categoría basada en un nombre de dominio completo, la SKU Prémium coincide con la categoría según la dirección URL completa tanto para el tráfico HTTP como para el HTTPS.
Por ejemplo, si Azure Firewall intercepta una solicitud HTTPS para www.google.com/news, se espera la siguiente categorización:
- Firewall Estándar: solo se examina la parte del FQDN, por lo que www.google.com se clasifica como "Motor de búsqueda".
- Firewall Premium: se examina la dirección URL completa, por lo que www.google.com/news se clasifica como "Noticias".
Las categorías se organizan en función de la gravedad en Responsabilidad, Ancho de banda alto, Uso empresarial, Pérdida de productividad, Navegación general y Sin categoría.