Revisión del Marco de buena arquitectura de Azure de Azure Firewall
En este artículo se proporcionan los procedimientos de arquitectura recomendados para Azure Firewall. La guía se basa en los cinco pilares de excelencia de la arquitectura: optimización de costos, excelencia operativa, eficiencia del rendimiento, confiabilidad y seguridad.
Optimización de costos
Revise las instancias de Azure Firewall infrautilizadas, e identifique y elimine las implementaciones de Azure Firewall que no se utilizan. Para identificar las implementaciones de Azure Firewall que no se utilizan, empiece a analizar las métricas de supervisión y las rutas definidas por el usuario (UDR) asociadas a subredes que apuntan a la dirección IP privada del firewall. A continuación, combínelas con validaciones adicionales (por ejemplo, si Azure Firewall tiene alguna regla [clásica] para NAT, o red y aplicación, o incluso si la configuración del proxy DNS está configurada en Deshabilitado), así como con documentación interna sobre el entorno y las implementaciones. Consulte los detalles sobre la supervisión de registros y métricas en Supervisión de métricas y registros de Azure Firewall y Uso de puertos SNAT.
Comparta la misma instancia de Azure Firewall entre varias cargas de trabajo e instancias de Azure Virtual Network. Implemente una instancia de Azure Firewall central en la red virtual del centro y comparta el mismo firewall entre muchas redes virtuales de radio conectadas al mismo centro desde la misma región. Asegúrese de que no haya tráfico entre regiones inesperado como parte de la topología en estrella tipo hub-and-spoke.
Detenga las implementaciones de Azure Firewall que no tengan que ejecutarse durante 24 horas. Este podría ser el caso de los entornos de desarrollo que se usan solo durante el horario comercial. Consulte más detalles en Desasignar y asignar Azure Firewall.
Ajuste correctamente el tamaño del número de direcciones IP públicas que necesita el firewall. Valide si todas las direcciones IP públicas asociadas están en uso. Si no están en uso, desasócielas y elimínelas. Use grupos de direcciones IP para reducir la sobrecarga de administración. Evalúe el uso de puertos SNAT antes de quitar direcciones IP. Consulte los detalles sobre la supervisión de registros y métricas en Supervisión de métricas y registros de Azure Firewall y Uso de puertos SNAT.
Use Azure Firewall Manager y sus directivas para reducir los costos operativos. Para ello, aumente la eficacia y reduzca la sobrecarga de administración. Revise detenidamente las directivas, las asociaciones y la herencia de Firewall Manager. Las directivas se facturan en función de las asociaciones del firewall. Una directiva con una o cero asociaciones de firewall es gratuita. Una directiva con varias asociaciones de firewall se factura según una tarifa fija. Consulte más detalles en Precios: Firewall Manager.
Revise las diferencias entre las dos SKU de Azure Firewall. La opción Estándar suele ser suficiente para el tráfico de este a oeste, mientras que la opción Prémium incluye las características adicionales necesarias para el tráfico de norte a sur, así como la característica de tunelización forzada y muchas otras características. Para más información, consulte Características de la versión preliminar de Azure Firewall Prémium. Implemente escenarios combinados con las opciones Estándar y Prémium, según sus necesidades.
Excelencia operativa
Administración y gobernanza general
- Use las etiquetas de Azure Firewall para controlar:
- Tráfico saliente de Internet (VM y servicios que acceden a Internet)
- Tráfico entrante no HTTP/S
- Filtrado de tráfico de este a oeste
- Use Azure Firewall Prémium, si se requiere alguna de las siguientes funcionalidades:
- Inspección de TLS: descifra el tráfico saliente, procesa los datos, los cifra y, a continuación, los envía al destino.
- IDPS: sistema de detección y prevención de intrusiones en la red (IDPS) que permite supervisar la actividad malintencionada de la red, registrar información sobre esta actividad, notificarla y, opcionalmente, intentar bloquearla.
- Filtrado de direcciones URL: extiende la funcionalidad de filtrado de nombres de dominio completos de Azure Firewall para que tenga en cuenta direcciones URL completas. Por ejemplo, la dirección URL filtrada podría www.contoso.com/a/c en lugar de www.contoso.com.
- Categorías web: los administradores pueden permitir o denegar el acceso de los usuarios a categorías de sitios web como, por ejemplo, sitios web de apuestas, de redes sociales y otros.
- Consulte los detalles en Características de la versión preliminar de Azure Firewall Prémium.
- Use Firewall Manager para implementar y administrar varias instancias de Azure Firewall en centros de Azure Virtual WAN e implementaciones basadas en redes en estrella tipo hub-and-spoke.
- Cree una directiva de Azure Firewall global para controlar la postura de seguridad en todo el entorno de red global y asígnela a todas las instancias de Azure Firewall. De este modo, las directivas pormenorizadas cumplirán los requisitos de regiones específicas al delegar las directivas de Azure Firewall incrementales a los equipos de seguridad locales mediante RBAC.
- Configure proveedores de seguridad de SaaS de terceros admitidos en Firewall Manager si desea usar estas soluciones para proteger las conexiones salientes.
- En el caso de las implementaciones existentes, migre las reglas de Azure Firewall a directivas de Azure Firewall Manager y use Azure Firewall Manager para administrar de forma centralizada los firewalls y las directivas.
Aprovisionamiento y cambios de infraestructura
- Se recomienda implementar Azure Firewall en la red virtual del centro. Los escenarios muy específicos pueden requerir implementaciones de Azure Firewall adicionales en redes virtuales de radio, pero eso no es habitual.
- Prefieren usar prefijos IP.
- Familiarícese con los límites y las limitaciones, especialmente los puertos SNAT. No supere los límites y tenga en cuenta las limitaciones. Consulte los límites Azure Firewall en Límites y cuotas de suscripción de Azure: Azure Resource Manager. Asimismo, obtenga más información sobre las limitaciones de facilidad de uso existentes en Preguntas más frecuentes de Azure Firewall.
- En el caso de las implementaciones simultáneas, asegúrese de usar grupos de direcciones IP, directivas y firewalls que no tengan operaciones Put simultáneas. Asegúrese de que todas las actualizaciones de las directivas y los grupos de direcciones IP tengan una actualización implícita del firewall que se ejecute posteriormente.
- Asegúrese de que un desarrollador y un entorno de prueba validan los cambios del firewall.
- Una solución con una buena arquitectura también implica considerar la colocación de los recursos, para adaptarse a todos los requisitos funcionales y no funcionales. Azure Firewall, Application Gateway y Load Balancer se pueden combinar de varias maneras para lograr objetivos diferentes. Puede encontrar escenarios con recomendaciones detalladas en Firewall y Application Gateway para redes virtuales.
Redes
Una instancia de Azure Firewall es una implementación dedicada en su red virtual. Dentro de la red virtual, es necesaria una subred dedicada para Azure Firewall. Azure Firewall aprovisionará más capacidad a medida que se escale. Un espacio de direcciones /26 para sus subredes garantiza que el firewall tiene suficientes direcciones IP disponibles para acomodar el escalado. Azure Firewall no necesita una subred mayor que /26 y el nombre de la subred de Azure Firewall debe ser AzureFirewallSubnet.
- Si está pensando en usar la característica de tunelización forzada, necesitará un espacio de direcciones /26 adicional para la subred de administración de Azure Firewall, que deberá denominar AzureFirewallManagementSubnet (también es un requisito).
- Azure Firewall siempre comienza con dos instancias, puede escalar hasta 20 instancias y no puede ver esas instancias individuales. Solo puede implementar una única instancia Azure Firewall en cada red virtual.
- Azure Firewall debe tener conectividad directa a Internet. Si la instancia de AzureFirewallSubnet aprende una ruta predeterminada a la red local mediante BGP, debe configurar Azure Firewall en el modo de tunelización forzada. Si se trata de una instancia de Azure Firewall existente, que no se puede volver a configurar en el modo de tunelización forzada, se recomienda crear una UDR con una ruta 0.0.0.0/0, con el valor NextHopType establecido en Internet. Asócielo a AzureFirewallSubnet para mantener la conectividad a Internet.
- Al implementar una nueva instancia de Azure Firewall, si habilita el modo de tunelización forzada, puede establecer la dirección IP pública en Ninguno para implementar un plano de datos totalmente privado. Sin embargo, el plano de administración sigue necesitando una dirección IP pública, solo con fines de administración. El tráfico interno de las redes virtuales, o locales, no usará esa dirección IP pública. Obtenga más información sobre la tunelización forzada en Tunelización forzada de Azure Firewall.
- Si tiene entornos de Azure de varias regiones, recuerde que Azure Firewall es un servicio regional. Por lo tanto, es probable que tenga una instancia por centro regional.
Supervisión
Supervisión de métricas de capacidad
El cliente puede usar las siguientes métricas como indicadores de uso de la capacidad de Azure Firewall aprovisionada. Los clientes pueden establecer alertas según sea necesario para recibir notificaciones una vez que se haya alcanzado un umbral para cualquier métrica.
| Nombre de la métrica | Explicación |
|---|---|
| Recuento de llamadas de las reglas de aplicación | Número de veces que se ha alcanzado una regla de aplicación. Unidad: número |
| Datos procesados | Suma de los datos que atraviesan el firewall en un período de tiempo determinado. Unidad: bytes |
| Firewall health state (Estado de mantenimiento del firewall) | Indica el estado del firewall en base a la disponibilidad del puerto SNAT. Unit: porcentaje Esta métrica tiene dos dimensiones: - Estado: los valores posibles son Correcto, Degradado e Incorrecto. - Motivo: indica el motivo del estado correspondiente del firewall. Si se usan puertos SNAT > 95 %, se consideran agotados y el mantenimiento tiene un 50 % con estado = Degradado y el motivo = Puerto SNAT. El firewall sigue procesando el tráfico, y las conexiones existentes no se ven afectadas. Sin embargo, es posible que de forma intermitente no se establezcan las nuevas conexiones. Si se usan puertos SNAT < 95 %, el firewall se considera correcto y el estado se muestra como 100 %. Si no se notifica ningún uso de puertos SNAT, el estado se muestra como 0 %. |
| Número de llamadas de reglas de red | Número de veces que se ha alcanzado una regla de red. Unidad: número |
| SNAT port utilization (Uso de puertos SNAT) | Porcentaje de puertos SNAT que ha utilizado el firewall. Unit: porcentaje Al agregar más direcciones IP públicas al firewall, hay más puertos SNAT disponibles. Esto reduce el uso de puertos SNAT. Además, cuando el firewall se escala horizontalmente por distintos motivos (por ejemplo, de CPU o rendimiento), otros puertos SNAT pasan a estar disponibles. Efectivamente, un porcentaje determinado del uso de puertos SNAT puede reducirse sin agregar ninguna dirección IP pública, simplemente porque el servicio se ha escalado horizontalmente. Puede controlar directamente el número de direcciones IP públicas disponibles para aumentar los puertos disponibles en el firewall. Sin embargo, no puede controlar directamente el escalado del firewall. Si el firewall agota los puertos SNAT, debe agregar al menos cinco direcciones IP públicas. Así se aumenta el número de puertos SNAT disponibles. Otra opción es asociar una instancia de NAT Gateway a la subred Azure Firewall, lo que puede ayudarle a aumentar la cifra de puertos a más de un millón. |
| Throughput | Velocidad de los datos que atraviesan el firewall por segundo. Unidad: bits por segundo |
Supervisión de registros mediante el libro de Azure Firewall
Azure Firewall expone algunos otros registros y métricas para la solución de problemas que se pueden usar como indicadores de problemas. Se recomienda evaluar las alertas de acuerdo con la tabla siguiente. Consulte Supervisión de métricas y registros de Azure Firewall.
| Nombre de la métrica | Explicación |
|---|---|
| Registro de regla de aplicación | Cada nueva conexión que coincida con una de las reglas de la aplicación configuradas dará como resultado un registro de la conexión aceptada o rechazada. |
| Registro de regla de red | Cada nueva conexión que coincida con una de las reglas de red configuradas dará como resultado un registro de la conexión aceptada o rechazada. |
| Registro de proxy DNS | Este registro realiza un seguimiento de los mensajes DNS a un servidor DNS configurado mediante un proxy DNS. |
Registros de diagnóstico y análisis de directivas
Los registros de diagnóstico permiten ver los registros de Azure Firewall, los registros de rendimiento y los registros de acceso. Puede usar estos registros en Azure para administrar y solucionar problemas de su instancia de Azure Firewall.
El análisis de directivas de Azure Firewall Manager le permite empezar a ver reglas y flujos que coinciden con las reglas y el número de llamadas de esas reglas. Al ver qué regla está en uso y el tráfico que se está comparando, puede tener visibilidad completa del tráfico.
Eficiencia del rendimiento
Agotamiento de puertos SNAT
- Si se necesitan más de 512 000 puertos, use una instancia de NAT Gateway con Azure Firewall. Para escalar verticalmente ese límite, puede tener más de un millón de puertos al asociar una instancia de NAT Gateway a la subred de Azure Firewall. Para más información, consulte Escalado de puertos SNAT con Azure NAT Gateway.
Escalado automático y rendimiento
- Azure Firewall usa el escalado automático. Puede llegar a 20 instancias, que proporcionan hasta 20 Gbps.
- Azure Firewall siempre comienza con 2 instancias. Se escala y reduce verticalmente en función de la CPU y el rendimiento de la red. Después de un escalado automático, Azure Firewall termina con una cantidad de instancias de n-1 o n+1.
- El escalado vertical se produce si el umbral de CPU o rendimiento es superior al 60 % durante más de 5 minutos.
- La reducción vertical se produce si el umbral de CPU o rendimiento es inferior al 60 % durante más de 30 minutos. El proceso de reducción vertical se produce correctamente (eliminación de instancias). Las conexiones activas en las instancias desaprovisionadas se desconectan y se cambian a otras instancias. Para la mayoría de las aplicaciones, este proceso no provoca ningún tiempo de inactividad, pero las aplicaciones deben tener algún tipo de funcionalidad de reconexión automática. (La mayoría ya tiene esta funcionalidad).
- Si realiza pruebas de carga, asegúrese de crear tráfico inicial que no forme parte de dichas pruebas, 20 minutos antes de la prueba. La finalidad es permitir que la instancia de Azure Firewall escale verticalmente sus instancias al máximo. Use la configuración de diagnóstico para capturar eventos de escalado y reducción vertical.
- No supere las 10 000 reglas de red y asegúrese de usar grupos de direcciones IP. Al crear reglas de red, recuerde que, para cada regla, Azure realmente multiplica puertos x direcciones IP; por tanto, si tiene una regla con cuatro intervalos de direcciones IP y cinco puertos, realmente consumirá 20 reglas de red. Intente resumir siempre los intervalos IP.
- No hay ninguna restricción para las reglas de aplicación.
- Agregue primero las reglas de permiso y, a continuación, agregue las reglas de denegación a los niveles de prioridad más baja.
Confiabilidad
Azure Firewall proporciona distintos acuerdos de nivel de servicio cuando se implementa en una sola zona de disponibilidad y cuando se implementa en varias zonas. Para más información, vea SLA para Azure Firewall. Para obtener información sobre todos los acuerdos de nivel de servicio de Azure, consulte la página de acuerdos de nivel de servicio de Azure.
En el caso de las cargas de trabajo diseñadas para resistir a errores y tolerarlos, recuerde tener en cuenta que las instancias de Azure Firewalls y Virtual Network son recursos regionales.
Supervise estrechamente las métricas, especialmente el uso de puertos SNAT, el estado de mantenimiento del firewall y el rendimiento.
Evite agregar varias direcciones IP individuales o intervalos de direcciones IP a las reglas de red. En su lugar, use superredes o grupos de direcciones IP cuando sea posible. Azure Firewall multiplica direcciones IP x reglas, lo que puede hacer que alcance el límite de 10 000 reglas recomendadas.
Seguridad
- Explicación de la lógica de procesamiento de reglas:
- Azure Firewall tiene reglas NAT, reglas de red y reglas de aplicaciones. Las reglas se procesan en función del tipo de regla. Obtenga más en Lógica de procesamiento de reglas de Azure Firewall y Lógica de procesamiento de reglas de Azure Firewall Manager.
- Use el filtrado de FQDN en reglas de red.
- Puede usar FQDN en reglas de red de acuerdo con la resolución DNS en la directiva de firewall y Azure Firewall. Esta funcionalidad permite filtrar el tráfico saliente con cualquier protocolo TCP/UDP (incluidos NTP, SSH, RDP y mucho más). Debe habilitar el proxy DNS para usar FQDN en sus reglas de red. Consulte cómo funciona en Filtrado de FQDN de Azure Firewall en reglas de red.
- Si filtra el tráfico entrante de Internet con DNAT de directiva de Azure Firewall, por motivos de seguridad, el enfoque recomendado es agregar un origen de Internet específico, permitir el acceso de DNAT a la red y evitar el uso de caracteres comodín.
- Use Azure Firewall para proteger los puntos de conexión privados (el escenario de WAN virtual). Obtenga más información en Protección del tráfico destinado a puntos de conexión privados en Azure Virtual WAN.
- Configuración de la inteligencia sobre amenazas:
- El filtrado basado en inteligencia sobre amenazas puede configurarse para que una directiva de Azure Firewall envíe una alerta y deniegue el tráfico desde y hacia los dominios y las direcciones IP malintencionados. Obtenga más información en Configuración de inteligencia sobre amenazas de Azure Firewall.
- Use Azure Firewall Manager:
- Azure Firewall Manager es un servicio de administración de seguridad que proporciona una directiva de seguridad central y administración de rutas para perímetros de seguridad basados en la nube. Contiene las características siguientes:
- Implementación y configuración centralizadas de Azure Firewall.
- Directivas jerárquicas (globales y locales).
- Integración con seguridad como servicio de terceros para la seguridad avanzada.
- Administración de rutas centralizada.
- Para comprender cómo se aplican las directivas, consulte Información general de directivas de Azure Firewall Manager.
- Use la directiva de Azure Firewall para definir una jerarquía de reglas. Consulte Uso de la directiva de Azure Firewall para definir una jerarquía de reglas.
- Azure Firewall Manager es un servicio de administración de seguridad que proporciona una directiva de seguridad central y administración de rutas para perímetros de seguridad basados en la nube. Contiene las características siguientes:
- Use Azure Firewall Prémium:
- Azure Firewall Prémium es un firewall de próxima generación con funcionalidades que son necesarias en entornos de alta confidencialidad y regulados. Contiene las características siguientes:
- Inspección de TLS: descifra el tráfico saliente, procesa los datos, los cifra y, a continuación, los envía al destino.
- IDPS: sistema de detección y prevención de intrusiones en la red (IDPS) que permite supervisar la actividad malintencionada de la red, registrar información sobre esta actividad, notificarla y, opcionalmente, intentar bloquearla.
- Filtrado de direcciones URL: extiende la funcionalidad de filtrado de nombres de dominio completos de Azure Firewall para que tenga en cuenta direcciones URL completas. Por ejemplo, la dirección URL filtrada podría www.contoso.com/a/c en lugar de www.contoso.com.
- Categorías web: los administradores pueden permitir o denegar el acceso de los usuarios a categorías de sitios web como, por ejemplo, sitios web de apuestas, de redes sociales y otros.
- Obtenga más información en Características de la versión preliminar de Azure Firewall Prémium.
- Azure Firewall Prémium es un firewall de próxima generación con funcionalidades que son necesarias en entornos de alta confidencialidad y regulados. Contiene las características siguientes:
- Implemente un proveedor de seguridad asociado:
- En Azure Firewall Manager, los proveedores de seguridad asociados permiten usar las mejores ofertas de seguridad como servicio (SECaaS) de terceros que ya conoce para proteger el acceso a Internet para los usuarios.
- Con una configuración rápida, puede proteger un centro de conectividad con un asociado de seguridad compatible. También puede enrutar y filtrar el tráfico de Internet de sus redes virtuales (VNet) o ubicaciones de rama en una región. Esto se hace mediante la administración de rutas automatizada, sin configurar ni administrar rutas definidas por el usuario (UDR).
- Los asociados de seguridad admitidos son Zscaler, Check Point e iboss.
- Obtenga más información en Implementación de un proveedor de asociados de seguridad de Azure Firewall Manager.
Pasos siguientes
Recursos relacionados
- Introducción a la arquitectura de Azure Firewall
- Revisión del Marco de buena arquitectura de Azure de Azure Application Gateway
- Firewall y Application Gateway para redes virtuales
- Elección entre el emparejamiento de red virtual y las puertas de enlace de VPN
- Topología de red en estrella tipo hub-and-spoke en Azure
- Consideraciones relativas a la seguridad para aplicaciones IaaS altamente confidenciales en Azure