Cos'è Firewall di Azure?
Di seguito vengono illustrate le nozioni di base del Firewall di Azure e di Gestione firewall di Azure. Questa panoramica sarà utile per decidere se il Firewall di Azure e Gestione firewall di Azure siano adatti alla strategia di sicurezza di rete di Contoso.
Panoramica del Firewall di Azure
Il Firewall di Azure è un servizio di sicurezza basato sul cloud che protegge le risorse della rete virtuale di Azure da minacce in entrata e in uscita. Nelle sezioni successive vengono illustrati i concetti fondamentali e le funzionalità principali di Firewall di Azure.
Che cos'è un firewall?
Un Firewall è una funzionalità di sicurezza di rete che risiede tra una rete attendibile e una rete non attendibile, ad esempio Internet. Il processo del firewall consiste nell'analizzare tutto il traffico di rete in ingresso e in uscita. In base a tale analisi, il firewall consente o nega il passaggio del traffico. Idealmente, il firewall consente tutto il traffico legittimo negando il traffico dannoso, ad esempio i tentativi di intrusione e malware.
Per impostazione predefinita, la maggior parte dei firewall nega tutto il traffico in ingresso e in uscita. Quando un firewall analizza il traffico di rete, verifica che vengano soddisfatte determinate condizioni prima di consentirne il passaggio. Tali condizioni potrebbero essere un indirizzo IP, un nome di dominio completo, una porta di rete, un protocollo di rete specificati o qualsiasi loro combinazione.
Insieme, queste condizioni definiscono una regola del firewall. Un firewall potrebbe avere una sola regola, ma la maggior parte dei firewall è configurata con molte regole. È consentito il passaggio solo del traffico di rete che soddisfa le condizioni delle regole del firewall.
Alcuni firewall sono basati su hardware e risiedono all'interno di dispositivi creati proprio per fungere da firewall. Altri firewall sono programmi software eseguiti su dispositivi di elaborazione per utilizzo generico.
Cos'è Firewall di Azure?
Il Firewall di Azure è un servizio firewall basato sul cloud. Nella maggior parte delle configurazioni viene eseguito il provisioning del Firewall di Azure all'interno di una rete virtuale hub. Il traffico da e verso le reti virtuali spoke e la rete locale attraversa il firewall con la rete hub.
Tutto il traffico da e verso Internet viene negato per impostazione predefinita. Il traffico è consentito solo se supera diversi test, ad esempio le regole del firewall configurate.
Nota
Il Firewall di Azure funziona non solo per il traffico da e verso Internet, ma anche internamente. Il filtraggio del traffico interno include il traffico da spoke a spoke e il traffico cloud ibrido tra la rete locale e la rete virtuale di Azure.
Funzionalità chiave di Firewall di Azure Standard
La tabella seguente elenca le funzionalità principali di Firewall di Azure Standard.
| Funzionalità | Descrizione |
|---|---|
| SNAT (Source Network Address Translation) | Tutto il traffico in uscita viene inviato all'indirizzo IP privato dell'istanza del Firewall di Azure. L'indirizzo IP di ogni macchina virtuale di origine viene convertito nell'indirizzo IP pubblico statico dell'istanza del Firewall di Azure. Per tutte le destinazioni esterne, il traffico di rete sembra provenire da un singolo indirizzo IP pubblico. |
| DNAT (Destination Network Address Translation) | Tutto il traffico in ingresso da origini esterne viene inviato all'indirizzo IP pubblico dell'istanza del Firewall di Azure. Il traffico consentito viene convertito nell'indirizzo IP privato della risorsa di destinazione nella rete virtuale. |
| Regole di applicazione | Regole che limitano il traffico in uscita a un elenco di FQDN. Ad esempio, è possibile consentire al traffico in uscita di accedere al nome di dominio completo di un'istanza del database SQL specificata. |
| Regole di rete | Regole per il traffico in ingresso e in uscita in base ai parametri di rete. Questi parametri includono l'indirizzo IP di origine o di destinazione, la porta di rete e il protocollo di rete. |
| Intelligence per le minacce | Filtra il traffico in ingresso e in uscita in base alle regole di intelligence per le minacce di Microsoft, che definiscono indirizzi IP e nomi di dominio dannosi noti. È possibile configurare il Firewall di Azure con una delle due modalità di intelligence per le minacce: avvisare l'utente quando il traffico viola una regola di intelligence per le minacce o avvisare e negare il traffico. |
| Con stato | Esamina i pacchetti di rete nel contesto, non solo singolarmente. Se uno o più pacchetti arrivano in modo imprevisto in base al traffico corrente, il Firewall di Azure considera i pacchetti come dannosi e li nega. |
| Tunneling forzato | Consente al Firewall di Azure di instradare tutto il traffico in uscita a una risorsa di rete specificata anziché direttamente a Internet. La risorsa di rete potrebbe essere un firewall hardware locale o un'appliance virtuale di rete che elabora il traffico prima di consentire il passaggio a Internet. |
| Supporto per i tag | Il Firewall di Azure supporta i tag del servizio e i tag FQDN per semplificare la configurazione delle regole. Un tag del servizio è un'entità di testo che rappresenta un servizio di Azure. Ad esempio, AzureCosmosDB è il tag del servizio per il servizio Azure Cosmos DB. Un tag FQDN è un'entità di testo che rappresenta un gruppo di nomi di dominio associati ai servizi Microsoft più diffusi. Ad esempio, WindowsVirtualDesktop è il tag FQDN per il traffico di Desktop virtuale Azure. |
| Proxy DNS | Con il proxy DNS abilitato, Firewall di Azure può elaborare e inoltrare query DNS da una o più reti virtuali al server DNS desiderato. |
| DNS personalizzato | Consente di configurare Firewall di Azure in modo che usi il proprio server DNS, garantendo al contempo che le dipendenze in uscita del firewall vengano risolte con DNS di Azure. |
| Categorie Web | La funzionalità Categorie Web consente agli amministratori di consentire o negare l'accesso degli utenti a categorie di siti Web come siti Web di gioco d'azzardo, siti Web di social media e altri. |
| Monitoraggio | Il Firewall di Azure registra tutto il traffico di rete in ingresso e in uscita ed è possibile analizzare i log risultanti tramite Monitoraggio di Azure, Power BI, Excel e altri strumenti. |
Che cos'è Firewall di Azure Premium?
Firewall di Azure Premium offre la protezione avanzata delle minacce che soddisfa le esigenze di ambienti altamente sensibili e regolamentati, ad esempio i settori sanitari e di pagamento.
Funzionalità chiave di Firewall di Azure Premium
La tabella seguente elenca le funzionalità principali di Firewall di Azure Premium.
| Funzionalità | Descrizione |
|---|---|
| Ispezione TLS | Decrittografa il traffico in uscita, elabora i dati, quindi crittografa i dati e lo invia alla destinazione. |
| IDPS | Un sistema di rilevamento e prevenzione delle intrusioni di rete (IDPS) consente di monitorare le attività della rete per individuare attività pericolose, registrare informazioni su queste attività, segnalarle e, facoltativamente, tentare di bloccarle. |
| Filtro degli URL | Estende la funzionalità di filtro FQDN di Firewall di Azure per prendere in considerazione un intero URL. Ad esempio, www.contoso.com/a/c anziché www.contoso.com. |
| Categorie Web | Gli amministratori pososno consentire o negare l'accesso utente a categorie di siti Web, ad esempio siti Web per il gioco d'azzardo, di social media e di altro tipo. Le categorie Web possono essere ottimizzate in Firewall di Azure Premium. |
Cos'è Firewall di Azure Basic?
Firewall di Azure Basic è destinato alle aziende di piccole e medie dimensioni (PMI) per proteggere gli ambienti cloud di Azure. Fornisce la protezione essenziale e necessaria per i clienti PMI a un prezzo conveniente.
Firewall di Azure Basic è simile a Firewall Standard, ma presenta le limitazioni principali seguenti:
- Supporta solo la modalità di avviso Intel per le minacce.
- Unità di scala fissa per eseguire il servizio in due istanze back-end della macchina virtuale.
- Consigliato per gli ambienti con velocità effettiva stimata di 250 Mbps.
Panoramica di Gestione firewall di Azure
Gestione firewall di Azure offre un punto centrale di configurazione e gestione di più istanze del Firewall di Azure. Gestione firewall di Azure consente di creare uno o più criteri firewall e di applicarli rapidamente a più firewall.
Che cos'è un criterio firewall?
La configurazione di un singolo Firewall di Azure può essere complessa. Ad esempio, il firewall potrebbe essere configurato con più raccolte di regole. Una raccolta è una combinazione di uno o tutti gli elementi seguenti:
- Una o più regole NAT (Network Address Translation)
- Una o più regole di rete
- Una o più regole di applicazione
Quando si includono altre impostazioni del firewall, ad esempio regole di intelligence sulle minacce e DNS personalizzate, la configurazione di un solo firewall può costituire un problema. Oltretutto, esistono due scenari di sicurezza di rete comuni:
- Le architetture di rete richiedono più firewall.
- Si vuole che ogni firewall implementi sia un livello base di regole di sicurezza che si applicano a tutti, oltre a regole speciali per gruppi designati, ad esempio sviluppatori, utenti di database e reparto marketing.
Per semplificare la gestione di questi e simili scenari di firewall, è possibile implementare i criteri firewall. Un criterio firewall è una risorsa di Azure che contiene una o più raccolte di regole NAT, di rete e di applicazione. Contiene anche impostazioni DNS personalizzate, impostazioni di Intelligence per le minacce e altro ancora.
Il punto chiave è che Azure offre una risorsa denominata Criteri firewall. Un criterio firewall creato è un'istanza di tale risorsa. Poiché si tratta di una risorsa separata, è possibile applicare rapidamente il criterio a più firewall usando Gestione firewall di Azure. È possibile creare un criterio di base e quindi fare in modo che criteri più specializzati ereditino le regole di tale criterio.
Funzionalità chiave di Gestione firewall di Azure
La tabella seguente elenca le funzionalità principali di Gestione firewall di Azure.
| Funzionalità | Descrizione |
|---|---|
| Gestione centralizzata | Gestione di tutte le configurazioni del firewall nell'intera rete. |
| Gestione di più firewall | Distribuzione, configurazione e monitoraggio di un numero illimitato di firewall da un'unica interfaccia. |
| Supporto per più architetture di rete | Protezione di reti virtuali di Azure standard e hub rete WAN virtuale di Azure. |
| Routing automatico del traffico | Il traffico di rete viene indirizzato automaticamente al firewall (solo se usato con hub rete WAN virtuale di Azure). |
| Criteri gerarchici | Consente di creare i cosiddetti criteri firewall padre e figlio. Un criterio padre contiene le regole e le impostazioni da applicare a livello globale. Un criterio figlio eredita tutte le regole e le impostazioni del relativo elemento padre. |
| Supporto per provider di sicurezza di terze parti | Consente di integrare soluzioni di sicurezza come servizio (SECaaS) di terze parti per proteggere la connessione Internet della rete. |
| Piano di protezione DDoS | È possibile associare le reti virtuali a un piano di protezione DDoS all'interno di Gestione firewall di Azure. |
| Gestire i criteri di Web application firewall | È possibile creare e associare i criteri di Web application firewall (WAF) in modo centralizzato per le piattaforme di distribuzione delle applicazioni, tra cui il servizio Frontdoor di Azure e il gateway applicazione di Azure. |
Nota
Grazie alla possibilità di integrare soluzioni SECaaS di terze parti, la strategia di sicurezza di rete potrebbe consistere nell'usare il Firewall di Azure per monitorare il traffico di rete locale usando il provider SECaaS di terze parti per monitorare il traffico Internet.
Opzioni disponibili per l'architettura
Gestione firewall di Azure offre la gestione della sicurezza per le due architetture di rete seguenti:
- Rete virtuale hub. Una rete virtuale di Azure standard in cui vengono applicati uno o più criteri firewall.
- Hub virtuale protetto. Un hub rete WAN virtuale di Azure in cui vengono applicati uno o più criteri firewall.