Revisão do Azure Well-Architected Framework – Firewall do Azure
Este artigo fornece recomendações de arquitetura para Firewall do Azure. A orientação baseia-se nos cinco pilares da excelência da arquitetura:
- Confiabilidade
- Segurança
- Otimização de custo
- Excelência operacional
- Eficiência do desempenho
Presumimos que você tenha conhecimento de trabalho sobre Firewall do Azure e esteja bem versado com seus recursos. Para obter mais informações, consulte Visão geral Firewall do Azure.
Pré-requisitos
- Entender os pilares do Azure Well-Architected Framework pode ajudar a produzir uma arquitetura de nuvem de alta qualidade, estável e eficiente. Examine sua carga de trabalho usando a avaliação de revisão do Well-Architected Framework .
- Use uma arquitetura de referência para examinar as considerações com base nas diretrizes fornecidas neste artigo. Comece com o aplicativo Web protegido por rede com conectividade privada com armazenamentos de dados paaS e Implemente uma rede híbrida segura.
Confiabilidade
Para saber como Firewall do Azure dá suporte a cargas de trabalho de forma confiável, confira os seguintes artigos:
- Introdução ao Firewall do Azure
- Início Rápido: Implantar Firewall do Azure com zonas de disponibilidade
- Configuração do Firewall do Azure em um hub de WAN Virtual
Lista de verificação de projeto
Ao fazer escolhas de design para Firewall do Azure, examine os princípios de design para confiabilidade.
- Implante Firewall do Azure em redes virtuais de hub ou como parte dos hubs de WAN Virtual do Azure.
- Aproveite Zonas de Disponibilidade resiliência.
- Criar Firewall do Azure Estrutura de política.
- Examine a lista Problemas Conhecidos.
- Monitore Firewall do Azure estado de integridade.
Observação
Há diferenças na disponibilidade dos serviços de rede entre o modelo de Hub & Spoke tradicional e WAN Virtual hubs protegidos gerenciados. Por exemplo, em um Hub WAN Virtual, o IP público Firewall do Azure não pode ser obtido de um prefixo de IP público e não pode ter a Proteção contra DDoS habilitada. A seleção de um ou outro modelo deve considerar os requisitos em todos os cinco pilares do Well-Architected Framework.
Recomendações
Explore a tabela de recomendações a seguir para otimizar sua configuração de Firewall do Azure para confiabilidade.
| Recomendação | Benefício |
|---|---|
| Use Firewall do Azure Manager com o Hub & Spokes tradicional ou topologias de rede do Azure WAN Virtual para implantar e gerenciar instâncias de Firewall do Azure. | Crie facilmente arquiteturas de hub e spoke e transitivas com serviços de segurança nativos para governança e proteção de tráfego. Para obter mais informações sobre topologias de rede, consulte a documentação do Azure Cloud Adoption Framework. |
| Crie políticas de Firewall do Azure para controlar a postura de segurança em ambientes de rede globais. Atribua políticas a todas as instâncias de Firewall do Azure. | Firewall do Azure Políticas podem ser organizadas em uma estrutura hierárquica para sobrepor uma política base central. Permitir que políticas granulares atendam aos requisitos de regiões específicas. Delegar políticas incrementais de firewall às equipes de segurança locais por meio do RBAC (controle de acesso baseado em função). Algumas configurações são específicas por instância, por exemplo, regras dnat e configuração de DNS, então várias políticas especializadas podem ser necessárias. |
| Migre Firewall do Azure Regras Clássicas para Firewall do Azure Políticas do Gerenciador para implantações existentes. | Para implantações existentes, migre regras de Firewall do Azure para políticas do Gerenciador de Firewall do Azure. Use Firewall do Azure Manager para gerenciar centralmente seus firewalls e políticas. Para obter mais informações, consulte Migrar para Firewall do Azure Premium. |
| Examine a lista de Firewall do Azure problemas conhecidos. | Firewall do Azure Grupo de Produtos mantém uma lista atualizada de problemas conhecidos neste local. Essa lista contém informações importantes relacionadas ao comportamento por design, correções em construção, limitações de plataforma, juntamente com possíveis soluções alternativas ou mitigação. |
| Verifique se sua política de Firewall do Azure segue os limites e as recomendações de Firewall do Azure. | Há limites na estrutura de política, incluindo números de Regras e Grupos de Coleção de Regras, tamanho total da política, destinos de origem/destino. Certifique-se de compor sua política e ficar atrás dos limites documentados. |
| Implante Firewall do Azure em várias zonas de disponibilidade para SLA (contrato de nível de serviço) mais alto. | Firewall do Azure fornece diferentes SLAs quando ele é implantado em uma única zona de disponibilidade e quando é implantado em várias zonas. Para obter mais informações, consulte SLA para Firewall do Azure. Para obter informações sobre todos os SLAs do Azure, confira Resumo do SLA para serviços do Azure. |
| Em ambientes de várias regiões, implante uma instância de Firewall do Azure por região. | Para arquiteturas tradicionais do Hub & Spokes, os detalhes de várias regiões são explicados neste artigo. Para hubs virtuais protegidos (WAN Virtual do Azure), a Intenção e as Políticas de Roteamento devem ser configuradas para proteger as comunicações entre hubs e ramificações. Para cargas de trabalho projetadas para serem resistentes a falhas e tolerantes a falhas, lembre-se de considerar que as instâncias do Firewall do Azure e do Azure Rede Virtual como recursos regionais. |
| Monitore Firewall do Azure Métricas e Resource Health estado. | Monitore de perto os principais indicadores de métricas de Firewall do Azure estado de integridade, como taxa de transferência, estado de integridade do firewall, utilização da porta SNAT e métricas de Investigação de Latência do AZFW. Além disso, Firewall do Azure agora se integra ao Resource Health do Azure. Com o Firewall do Azure Resource Health marcar, agora você pode exibir o status de integridade do Firewall do Azure e resolver problemas de serviço que podem afetar seu recurso de Firewall do Azure. |
O Assistente do Azure ajuda a garantir e melhorar a continuidade de aplicativos críticos aos negócios. Examine as recomendações do Assistente do Azure.
Segurança
A segurança é um dos aspectos mais importantes de qualquer arquitetura. Firewall do Azure é um serviço de segurança de firewall inteligente que fornece proteção contra ameaças para suas cargas de trabalho de nuvem em execução no Azure.
Lista de verificação de projeto
Ao fazer escolhas de design para Firewall do Azure, examine os princípios de design para segurança.
- Determine se você precisa de Túnel Forçado.
- Crie regras para Políticas com base em critérios de acesso de privilégios mínimos.
- Aproveite a Inteligência contra Ameaças.
- Habilite Firewall do Azure proxy DNS.
- Direcionar o tráfego de rede por meio de Firewall do Azure.
- Determine se você deseja usar provedores SECaaS (segurança como serviço) de terceiros.
- Proteja seus Firewall do Azure endereços IP públicos com DDoS.
Recomendações
Explore a tabela de recomendações a seguir para otimizar sua configuração de Firewall do Azure para segurança.
| Recomendação | Benefício |
|---|---|
| Se for necessário rotear todo o tráfego vinculado à Internet para um próximo salto designado em vez de ir diretamente para a Internet, configure Firewall do Azure no modo de túnel forçado (não se aplica ao Azure WAN Virtual). | O Firewall do Azure deve ter conectividade direta com a Internet. Se o AzureFirewallSubnet aprender uma rota padrão para sua rede local por meio do Border Gateway Protocol, você deverá configurar Firewall do Azure no modo de túnel forçado. Usando o recurso de túnel forçado, você precisará de outro espaço de endereço /26 para a sub-rede de Gerenciamento de Firewall do Azure. Você precisa nomeá-lo como AzureFirewallManagementSubnet. Se essa for uma instância de Firewall do Azure existente que não pode ser reconfigurada no modo de túnel forçado, crie uma UDR com uma rota 0.0.0.0/0. Defina o valor NextHopType como Internet. Associe-o ao AzureFirewallSubnet para manter a conectividade com a Internet. |
| Defina o endereço IP público como Nenhum para implantar um plano de dados totalmente privado ao configurar Firewall do Azure no modo de túnel forçado (não se aplica a WAN Virtual do Azure). | Ao implantar uma nova instância de Firewall do Azure, se você habilitar o modo de túnel forçado, poderá definir o endereço IP público como Nenhum para implantar um plano de dados totalmente privado. No entanto, o plano de gerenciamento ainda requer um IP público apenas para fins de gerenciamento. O tráfego interno de redes virtuais e locais não usará esse IP público. Para obter mais informações sobre túnel forçado, consulte Firewall do Azure túnel forçado. |
| Crie regras para políticas de firewall com base em critérios de acesso de privilégios mínimos. | Firewall do Azure Políticas podem ser organizadas em uma estrutura hierárquica para sobrepor uma política base central. Permitir que políticas granulares atendam aos requisitos de regiões específicas. Cada política pode conter diferentes conjuntos de regras DNAT, Rede e Aplicativo com prioridade, ação e ordem de processamento específicas. Crie suas regras com base no acesso de privilégios mínimos Confiança Zero princípio . A forma como as regras são processadas é explicada neste artigo. |
| Habilite a Inteligência contra Ameaças no Firewall do Azure no modo alerta e negação. | Você pode habilitar a filtragem baseada em inteligência contra ameaças do seu firewall para alertar e rejeitar o tráfego recebido e enviado a endereços IP e domínios desconhecidos. Os endereços IP e os domínios são originados do feed de inteligência de ameaças da Microsoft. O Gráfico de Segurança Inteligente alimenta a inteligência contra ameaças da Microsoft e é usado por vários serviços, incluindo Microsoft Defender para Nuvem. |
| Habilite o IDPS no modo alerta ou alerta e negação . | O IDPS é um dos recursos de segurança de Firewall do Azure (Premium) mais avançados e deve ser habilitado. Com base nos requisitos de segurança e aplicativo e considerando o impacto no desempenho (consulte a seção Custo abaixo), os modos alerta ou alerta e negação podem ser selecionados. |
| Habilite a configuração de proxy de Firewall do Azure (DNS). | Habilitar esse recurso aponta os clientes nas VNets para Firewall do Azure como um servidor DNS. Ele protegerá a infraestrutura DNS interna que não será acessada e exposta diretamente. Firewall do Azure também deve ser configurado para usar o DNS personalizado que será usado para encaminhar consultas DNS. |
| Configure UDR (rotas definidas pelo usuário) para forçar o tráfego por meio de Firewall do Azure. | Em uma arquitetura de Hub & Spokes tradicional, configure UDRs para forçar o tráfego por meio de Firewall do Azure para SpoketoSpokeconectividade , SpoketoInternete SpoketoHybrid . No Azure WAN Virtual, em vez disso, configure a Intenção e as Políticas de Roteamento para redirecionar o tráfego privado e/ou da Internet por meio da instância de Firewall do Azure integrada ao hub. |
| Restringir o uso de endereços IP públicos diretamente vinculados a Máquinas Virtuais | Para evitar que o tráfego ignore o firewall, a associação de endereços IP públicos aos adaptadores de rede da VM deve ser restrita. No modelo caf (Cloud Adoption Framework do Azure), uma Azure Policy específica é atribuída ao Grupo de Gerenciamento CORP. |
| Se não for possível aplicar a UDR e apenas o redirecionamento de tráfego da Web for necessário, considere usar Firewall do Azure como um Proxy Explícito | Com o recurso de proxy explícito habilitado no caminho de saída, você pode definir uma configuração de proxy no aplicativo Web de envio (como um navegador da Web) com Firewall do Azure configurado como o proxy. Como resultado, o tráfego da Web atingirá o endereço IP privado do firewall e, portanto, será retirado diretamente do firewall sem usar uma UDR. Esse recurso também facilita o uso de vários firewalls sem modificar as rotas de rede existentes. |
| Configure provedores de segurança saaS (software como serviço) de terceiros com suporte no Gerenciador de Firewall se você quiser usar essas soluções para proteger as conexões de saída. | Você pode usar suas ofertas de SECaaS de terceiros familiares e mais avançadas para proteger o acesso à Internet para seus usuários. Esse cenário requer WAN Virtual do Azure com um Gateway de VPN S2S no Hub, pois ele usa um túnel IPSec para se conectar à infraestrutura do provedor. Os provedores SECaaS podem cobrar taxas de licença adicionais e limitar a taxa de transferência em conexões IPSec. Soluções alternativas, como o ZScaler Cloud Connector, existem e podem ser mais adequadas. |
| Use a filtragem de FQDN (Nome de Domínio Totalmente Qualificado) em regras de rede. | Você pode usar o FQDN com base na resolução DNS em Firewall do Azure e políticas de firewall. Essa funcionalidade permite filtrar o tráfego de saída com qualquer protocolo TCP/UDP (incluindo NTP, SSH, RDP e muito mais). Você deve habilitar a configuração do Proxy DNS Firewall do Azure para usar FQDNs em suas regras de rede. Para saber como funciona, confira Firewall do Azure filtragem de FQDN em regras de rede. |
| Use marcas de serviço em regras de rede para habilitar o acesso seletivo a serviços Específicos da Microsoft. | Uma marca de serviço representa um grupo de prefixos de endereço IP para ajudar a minimizar a complexidade da criação de regra de segurança. Usando marcas de serviço em regras de rede, é possível habilitar o acesso de saída a serviços específicos no Azure, Dynamics e Office 365 sem abrir grandes intervalos de endereços IP. O Azure manterá automaticamente o mapeamento entre essas marcas e os endereços IP subjacentes usados por cada serviço. A lista de Marcas de Serviço disponíveis para Firewall do Azure estão listadas aqui: Marcas de Serviço de Firewall do Az. |
| Use marcas FQDN em Regras de Aplicativo para habilitar o acesso seletivo a serviços Específicos da Microsoft. | Uma marca FQDN representa um grupo de FQDNs (nomes de domínio totalmente qualificados) associados a serviços conhecidos da Microsoft. Você pode usar uma marca FQDN em regras de aplicativo para permitir o tráfego de rede de saída necessário por meio do firewall para alguns serviços específicos do Azure, Office 365, Windows 365 e Intune. |
| Use Firewall do Azure Manager para criar e associar um plano de proteção contra DDoS à rede virtual do hub (não se aplica ao Azure WAN Virtual). | Um plano de proteção contra DDoS fornece recursos avançados de mitigação para defender o firewall contra ataques de DDoS. Firewall do Azure Manager é uma ferramenta integrada para criar sua infraestrutura de firewall e planos de proteção contra DDoS. Para saber mais, confira Configurar um plano de Proteção contra DDoS do Azure usando o Gerenciador de Firewall do Azure. |
| Use uma PKI Corporativa para gerar certificados para inspeção de TLS. | Com Firewall do Azure Premium, se o recurso inspeção de TLS for usado, é recomendável aproveitar uma AC (Autoridade de Certificação Corporativa) interna para o ambiente de produção. Os certificados autoassinados devem ser usados somente para fins de teste/PoC . |
| Examine Zero-Trust guia de configuração para Firewall do Azure e Gateway de Aplicativo | Se os requisitos de segurança exigirem a implementação de uma abordagem Zero-Trust para aplicativos Web (inspeção e criptografia), é recomendável seguir este guia. Neste documento, será explicado como integrar Firewall do Azure e Gateway de Aplicativo em cenários de Hub & Spoke e WAN Virtual tradicionais. |
O Assistente do Azure ajuda a garantir e melhorar a continuidade de aplicativos críticos aos negócios. Examine as recomendações do Assistente do Azure.
Definições de política
Os adaptadores de rede não devem ter IPs públicos. Essa política nega as interfaces de rede que são configuradas com qualquer IP público. Os endereços IP públicos permitem que os recursos da Internet se comuniquem internamente com os recursos do Azure e que os recursos do Azure se comuniquem externamente com a Internet.
Todo o tráfego da Internet deve ser roteado por meio do Firewall do Azure implantado. A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de última geração. Proteja as sub-redes de potenciais ameaças restringindo o acesso a elas com o Firewall do Azure ou com um firewall de última geração compatível.
A política de firewall do Azure deve habilitar a inspeção de TLS dentro das regras do aplicativo. A habilitação da inspeção do TLS é recomendada para que todas as regras de aplicativo detectem, alertem e mitiguem atividades mal-intencionadas em HTTPS. Para saber mais sobre a inspeção do TLS com Firewall do Azure, visite https://aka.ms/fw-tlsinspect.
Firewall do Azure Premium deve configurar um certificado intermediário válido para habilitar a inspeção do TLS. Configure um certificado intermediário válido e habilite a inspeção do TLS Premium do Firewall do Azure para detectar, alertar e mitigar as atividades mal-intencionadas em HTTPS. Para saber mais sobre a inspeção do TLS com Firewall do Azure, visite https://aka.ms/fw-tlsinspect.
A lista de bypass do IDPS (Sistema de Detecção e Prevenção de Intrusões) deve estar vazia na Política de Firewall Premium. A lista de bypass do IDPS (Sistema de Detecção e Prevenção contra Intrusões) permite que você não filtre o tráfego para nenhum dos endereços IP, intervalos e sub-redes especificados na lista de bypass. No entanto, a habilitação do IDPS é recomendada para todos os fluxos de tráfego para identificar melhor as ameaças conhecidas. Para saber mais sobre as assinaturas do IDPS (Sistema de Detecção e Prevenção de Intrusões) com o Firewall do Azure Premium, visite https://aka.ms/fw-idps-signature.
A Política de Firewall Premium deve habilitar todas as regras de assinatura IDPS para monitorar todos os fluxos de tráfego de entrada e saída. É recomendável habilitar todas as regras de assinatura do IDPS (Sistema de Detecção e Prevenção de Intrusões) para identificar melhor as ameaças conhecidas nos fluxos de tráfego. Para saber mais sobre as assinaturas do IDPS (Sistema de Detecção e Prevenção de Intrusões) com o Firewall do Azure Premium, visite https://aka.ms/fw-idps.
A Política de Firewall Premium deve habilitar o IDPS (Sistema de Detecção e Prevenção de Intrusões). A habilitação do IDPS (Sistema de Detecção e Prevenção contra Intrusões) permite que você monitore a rede em busca de atividades mal-intencionadas, registre informações sobre elas, relate-as e, opcionalmente, tente bloqueá-las. Para saber mais sobre o IDPS (Sistema de Detecção e Prevenção de Intrusões) com o Firewall do Azure Premium, visite https://aka.ms/fw-idps.
A assinatura deve configurar o Firewall do Azure Premium para fornecer camada adicional de proteção. O Firewall do Azure Premium fornece proteção avançada contra ameaças que atende às necessidades de ambientes altamente confidenciais e regulamentados. Implante o Firewall do Azure Premium na sua assinatura e garanta que todo o tráfego de serviço fique protegido pelo Firewall do Azure Premium. Para saber mais sobre Firewall do Azure Premium, visite https://aka.ms/fw-premium.
Todas as definições de política internas relacionadas à rede do Azure estão listadas em Políticas internas – Rede.
Otimização de custo
A otimização de custos é a análise de maneiras de reduzir as despesas desnecessárias e melhorar a eficiência operacional.
Lista de verificação de projeto
À medida que você faz escolhas de design para Firewall do Azure, examine os princípios de design para otimização de custos.
- Selecione o SKU do Firewall do Azure a ser implantado.
- Determine se algumas instâncias não precisam de alocação permanente 24x7.
- Determine onde você pode otimizar o uso do firewall entre cargas de trabalho.
- Monitore e otimize o uso de instâncias de firewall para determinar o custo-benefício.
- Examine e otimize o número de endereços IP públicos necessários e as Políticas usadas.
- Examine os requisitos de log, estime o custo e o controle ao longo do tempo.
Recomendações
Explore a tabela de recomendações a seguir para otimizar sua configuração de Firewall do Azure para otimização de custos.
| Recomendação | Benefício |
|---|---|
| Implante o SKU de Firewall do Azure adequado. | Firewall do Azure pode ser implantado em três SKUs diferentes: Básico, Standard e Premium. O Firewall do Azure Premium é recomendado para segurança aplicativos altamente confidenciais (como processamento de pagamentos). O Firewall do Azure Standard é recomendado para clientes que procuram um firewall de Camada 3 à Camada 7 e precisa de dimensionamento automático para lidar com períodos de pico de tráfego de até 30 Gbps. O Firewall do Azure Basic é recomendado para clientes SMB com necessidades de taxa de transferência de 250 Mbps. Se necessário, o downgrade ou a atualização são possíveis entre Standard e Premium, conforme documentado aqui. Para obter mais informações, consulte Escolher o SKU de Firewall do Azure certo para atender às suas necessidades. |
| Pare Firewall do Azure implantações que não precisam ser executadas 24 vezes por dia, 7 dias por semana. | Você pode ter ambientes de desenvolvimento ou teste que são usados somente durante o horário comercial. Para obter mais informações, consulte Desalocar e alocar Firewall do Azure. |
| Compartilhe a mesma instância de Firewall do Azure em várias cargas de trabalho e redes virtuais do Azure. | Você pode usar uma instância central do Firewall do Azure na rede virtual do hub ou WAN Virtual hub seguro e compartilhar o mesmo firewall em várias redes virtuais spoke conectadas ao mesmo hub da mesma região. Verifique se não há tráfego entre regiões inesperado como parte da topologia hub-spoke. |
| Examine regularmente o tráfego processado por Firewall do Azure e procure otimizações de carga de trabalho de origem | Os principais logs de fluxos (conhecidos no setor como Fluxos de Gordura), mostram as principais conexões que estão contribuindo para a maior taxa de transferência por meio do firewall. É recomendável revisar regularmente o tráfego processado pelo Firewall do Azure e pesquisar possíveis otimizações para reduzir a quantidade de tráfego que atravessa o firewall. |
| Examine instâncias de Firewall do Azure subutilizados. Identificar e excluir implantações de Firewall do Azure não utilizados. | Para identificar implantações de Firewall do Azure não utilizados, comece analisando as métricas de monitoramento e as UDRs associadas a sub-redes que apontam para o IP privado do firewall. Combine essas informações com outras validações, como se sua instância do Firewall do Azure tiver regras (clássicas) para NAT, Rede e Aplicativo ou mesmo se a configuração de Proxy DNS estiver configurada como Desabilitada e com documentação interna sobre seu ambiente e implantações. Você pode detectar implantações econômicas ao longo do tempo. Para obter mais informações sobre como monitorar logs e métricas, consulte Monitorar logs e métricas de Firewall do Azure e utilização da porta SNAT. |
| Use Firewall do Azure Manager e suas Políticas para reduzir os custos operacionais, aumentar a eficiência e reduzir a sobrecarga de gerenciamento. | Examine cuidadosamente suas políticas, associações e herança do Gerenciador de Firewall. As políticas são cobradas com base nas associações de firewall. Uma política com zero ou uma associação de firewall é gratuita. Uma política com várias associações de firewall é cobrada segundo uma taxa fixa. Para obter mais informações, consulte Preços – Firewall do Azure Manager. |
| Exclua endereços IP públicos não utilizados. | Valide se todos os endereços IP públicos associados estão em uso. Se eles não estiverem em uso, desassocie-os e exclua-os. Avalie a utilização da porta SNAT antes de remover os endereços IP. Você usará apenas o número de IPs públicos de que seu firewall precisa. Para obter mais informações, consulte Monitorar logs e métricas de Firewall do Azure e Utilização de porta SNAT. |
| Examine os requisitos de registro em log. | Firewall do Azure tem a capacidade de registrar metadados de forma abrangente de todo o tráfego que ele vê, para workspaces do Log Analytics, armazenamento ou soluções de terceiros por meio de Hubs de Eventos. No entanto, todas as soluções de registro em log incorrem em custos para processamento e armazenamento de dados. Em volumes muito grandes, esses custos podem ser significativos, uma abordagem econômica e uma alternativa ao Log Analytics devem ser consideradas e estimadas em custos. Considere se é necessário registrar metadados de tráfego para todas as categorias de log e modificar nas Configurações de Diagnóstico, se necessário. |
Para obter mais sugestões, consulte Lista de verificação de revisão de design para Otimização de Custos.
O Assistente do Azure ajuda a garantir e melhorar a continuidade de aplicativos críticos aos negócios. Examine as recomendações do Assistente do Azure.
Excelência operacional
Monitoramento e diagnóstico são cruciais. Você pode medir estatísticas e métricas de desempenho para solucionar problemas e corrigir problemas rapidamente.
Lista de verificação de projeto
Ao fazer escolhas de design para Firewall do Azure, examine os princípios de design para excelência operacional.
- Mantenha o inventário e o backup de Firewall do Azure configuração e políticas.
- Aproveite os logs de diagnóstico para monitoramento e solução de problemas de firewall.
- Aproveite Firewall do Azure pasta de trabalho monitoramento.
- Examine regularmente seus insights e análises de política.
- Integre Firewall do Azure com o Microsoft Defender para Nuvem e o Microsoft Sentinel.
Recomendações
Explore a tabela de recomendações a seguir para otimizar sua configuração de Firewall do Azure para excelência operacional.
| Recomendação | Benefício |
|---|---|
| Não use Firewall do Azure para controle de tráfego intra-VNet. | Firewall do Azure deve ser usado para controlar o tráfego entre VNets, entre VNets e redes locais, tráfego de saída para a Internet e tráfego não HTTP/s de entrada. Para o controle de tráfego intra-VNet, é recomendável usar Grupos de Segurança de Rede. |
| Manter backups regulares de artefatos Azure Policy. | Se a abordagem de IaC (infraestrutura como código) for usada para manter Firewall do Azure e todas as dependências, o backup e o controle de versão das políticas de Firewall do Azure já deverão estar em vigor. Caso contrário, um mecanismo complementar baseado no Aplicativo Lógico externo pode ser implantado para automatizar e fornecer uma solução eficaz. |
| Habilite logs de diagnóstico para Firewall do Azure. | Os Logs de Diagnóstico são um componente fundamental para muitas ferramentas de monitoramento e estratégias para Firewall do Azure e devem ser habilitados. Você pode monitorar Firewall do Azure usando logs de firewall ou pastas de trabalho. Você também pode usar logs de atividades para operações de auditoria em recursos Firewall do Azure. |
| Use o formato Logs de Firewall Estruturado . | Os Logs de Firewall Estruturados são um tipo de dados de log organizados em um novo formato específico. Eles usam um esquema predefinido para estruturar dados de log de uma maneira que facilita a pesquisa, o filtro e a análise. As ferramentas de monitoramento mais recentes são baseadas nesse tipo de log, portanto, geralmente é um pré-requisito. Use o formato anterior dos Logs de Diagnóstico somente se houver uma ferramenta existente com um pré-requisito. Não habilite os dois formatos de log ao mesmo tempo. |
| Use a pasta de trabalho interna de monitoramento de Firewall do Azure. | Firewall do Azure experiência do portal agora inclui uma nova pasta de trabalho na interface do usuário da seção Monitoramento, uma instalação separada não é mais necessária. Com a pasta de trabalho Firewall do Azure, você pode extrair insights valiosos de eventos Firewall do Azure, aprofundar-se em seu aplicativo e regras de rede e examinar estatísticas sobre atividades de firewall entre URLs, portas e endereços. |
| Monitore as principais métricas e crie alertas para indicadores da utilização de Firewall do Azure capacidade. | Os alertas devem ser criados para monitorar pelo menos a taxa de transferência, o estado de integridade do firewall, a utilização da porta SNAT e as métricas de investigação de latência do AZFW . Para obter informações sobre como monitorar logs e métricas, consulte Monitorar logs e métricas de Firewall do Azure. |
| Configure Firewall do Azure integração com o Microsoft Defender para Nuvem e o Microsoft Sentinel. | Se essas ferramentas estiverem disponíveis no ambiente, é recomendável aproveitar a integração com o Microsoft Defender para soluções do Cloud e do Microsoft Sentinel. Com o Microsoft Defender para integração de nuvem, você pode visualizar o status de infraestrutura de rede e segurança de rede em um só lugar, incluindo a Segurança de Rede do Azure em todas as VNets e Hubs Virtuais espalhados por diferentes regiões no Azure. A integração com o Microsoft Sentinel fornece recursos de detecção e prevenção de ameaças. |
| Examine regularmente dashboard de Análise de Políticas para identificar possíveis problemas. | O Policy Analytics é um novo recurso que fornece insights sobre o impacto de suas políticas de Firewall do Azure. Ele ajuda a identificar possíveis problemas (atingindo limites de política, regras de baixa utilização, regras redundantes, regras muito genéricas, recomendação de uso de grupos de IP) em suas políticas e fornece recomendações para melhorar sua postura de segurança e o desempenho do processamento de regras. |
| Familiarize-se com consultas KQL (Linguagem de Consulta Kusto) para permitir análise rápida e solução de problemas usando logs de Firewall do Azure. | Consultas de exemplo são fornecidas para Firewall do Azure. Isso permitirá que você identifique rapidamente o que está acontecendo dentro do firewall e marcar para ver qual regra foi disparada ou qual regra está permitindo/bloqueando uma solicitação. |
O Assistente do Azure ajuda a garantir e melhorar a continuidade de aplicativos críticos aos negócios. Examine as recomendações do Assistente do Azure.
Eficiência de desempenho
A eficiência de desempenho é a capacidade da carga de trabalho de dimensionar para atender com eficiência às demandas colocadas nela pelos usuários.
Lista de verificação de projeto
À medida que você faz escolhas de design para Firewall do Azure, examine os princípios de design para obter eficiência de desempenho.
- Examine e otimize regularmente as regras de firewall.
- Examine os requisitos de política e as oportunidades para resumir os intervalos de IP e a lista de URLs.
- Avalie seus requisitos de porta SNAT.
- Planeje testes de carga para testar o desempenho de dimensionamento automático em seu ambiente.
- Não habilite ferramentas de diagnóstico e registro em log se não for necessário.
Recomendações
Explore a tabela de recomendações a seguir para otimizar sua configuração de Firewall do Azure para eficiência de desempenho.
| Recomendação | Benefício |
|---|---|
| Use o dashboard de Análise de Políticas para identificar possíveis otimizações para políticas de firewall. | O Policy Analytics é um novo recurso que fornece insights sobre o impacto de suas políticas de Firewall do Azure. Ele ajuda a identificar possíveis problemas (atingindo limites de política, regras de baixa utilização, regras redundantes, regras muito genéricas, recomendação de uso de grupos de IP) em suas políticas e fornece recomendações para melhorar sua postura de segurança e o desempenho do processamento de regras. |
| Para Políticas de Firewall com conjuntos de regras grandes, coloque as regras usadas com mais frequência no início do grupo para otimizar a latência. | As regras são processadas com base no tipo de regra, na herança, na prioridade do Grupo de Coleções de Regras e na prioridade da Coleção de Regras. Os grupos de coleções de regras de prioridade mais alta são processados primeiro. Dentro de um grupo de coleções de regras, coleções de regras com prioridade mais alta são processadas primeiro. Colocar a maioria das regras usadas mais alto no conjunto de regras otimizará a latência de processamento. A forma como as regras são processadas e avaliadas é explicada neste artigo. |
| Use grupos de IP para resumir intervalos de endereços IP. | Você pode usar grupos de IP para resumir intervalos de IP, para não exceder o limite de regras de rede de origem/destino exclusivas. Para cada regra, o Azure multiplica portas por endereços IP. Portanto, se você tiver uma regra com quatro intervalos de endereços IP e cinco portas, consumirá 20 regras de rede. O Grupo de IP é tratado como um único endereço com a finalidade de criar regras de rede. |
| Considere categorias da Web para permitir ou negar o acesso de saída em massa. | Em vez de criar e manter explicitamente uma longa lista de sites públicos da Internet, considere o uso de Firewall do Azure Categorias da Web. Esse recurso categorizará dinamicamente o conteúdo da Web e permitirá a criação de Regras de Aplicativo compactas. |
| Avalie o impacto no desempenho do IDPS no modo alerta e negação . | Se Firewall do Azure for necessário para operar no modo IDPSAlerta e negar, considere cuidadosamente o impacto no desempenho, conforme documentado nesta página. |
| Avalie o possível problema de esgotamento da porta SNAT. | Atualmente, o Firewall do Azure dá suporte a 2496 portas por endereço IP público para cada instância do Conjunto de Dimensionamento de Máquinas Virtuais de back-end. Por padrão, há duas instâncias do Conjunto de Dimensionamento de Máquinas Virtuais. Portanto, há 4992 portas por IP de destino de fluxo, porta de destino e protocolo (TCP ou UDP). É possível escalar o firewall verticalmente para um máximo de 20 instâncias. Para lidar com os limites, configure implantações do Firewall do Azure suscetíveis ao esgotamento de SNAT com um mínimo de cinco endereços IP públicos. |
| Aqueça corretamente Firewall do Azure antes de qualquer teste de desempenho. | Crie tráfego inicial que não faça parte dos testes de carga 20 minutos antes do teste. Use diagnóstico configurações para capturar eventos de expansão e redução vertical. Você pode usar o serviço de Teste de Carga do Azure para gerar o tráfego inicial. Permite que a instância de Firewall do Azure escale verticalmente suas instâncias para o máximo. |
| Configure uma sub-rede Firewall do Azure (AzureFirewallSubnet) com um espaço de endereço /26. | Firewall do Azure é uma implantação dedicada em sua rede virtual. Em sua rede virtual, uma sub-rede dedicada é necessária para a instância do Firewall do Azure. Firewall do Azure provisiona mais capacidade conforme ele é dimensionado. Um espaço de endereço /26 para suas sub-redes garante que o firewall tenha endereços IP suficientes disponíveis para acomodar o dimensionamento. O Firewall do Azure não precisa de uma sub-rede maior que /26. O nome da sub-rede Firewall do Azure deve ser AzureFirewallSubnet. |
| Não habilite o log avançado se não for necessário | Firewall do Azure fornece alguns recursos avançados de registro em log que podem ser caros para manter sempre ativos. Em vez disso, eles devem ser usados apenas para fins de solução de problemas e limitados por duração e, em seguida, desabilitados quando não forem mais necessários. Por exemplo, os principais fluxos e logs de rastreamento de fluxo são caros podem causar uso excessivo de CPU e armazenamento na infraestrutura de Firewall do Azure. |
O Assistente do Azure ajuda a garantir e melhorar a continuidade de aplicativos críticos aos negócios. Examine as recomendações do Assistente do Azure.
Recomendações do Assistente do Azure
O Assistente do Azure é um consultor de nuvem personalizado que ajuda a seguir as práticas recomendadas para otimizar as implantações do Azure. Ainda não há Firewall do Azure recomendação específica do Assistente. Algumas recomendações gerais podem ser aplicadas para ajudar a melhorar a confiabilidade, a segurança, o custo-benefício, o desempenho e a excelência operacional.
- Criar alertas de Integridade do Serviço do Azure para receber notificação quando problemas do Azure afetarem você
- Certifique-se de que você terá acesso aos especialistas de nuvem do Azure quando precisar
- Habilitar Análise de Tráfego para exibir informações sobre os padrões de tráfego nos recursos do Azure
- Siga a administração suficiente (princípio de privilégios mínimos)
- Proteger seus recursos de rede com o Microsoft Defender for Cloud
Recursos adicionais
- Documentação do Firewall do Azure
- O que é o Gerenciador de Firewall do Azure?
- Firewall do Azure limites de serviço, cotas e restrições
- Linha de base de segurança do Azure para o Firewall do Azure
Diretrizes do Centro de Arquitetura do Azure
- Visão geral da arquitetura do Firewall do Azure
- Usar Firewall do Azure para ajudar a proteger um cluster do AKS (Serviço de Kubernetes do Azure)
- Usar Firewall do Azure para proteger implantações da Área de Trabalho Virtual do Azure (AVD)
- Usar o Firewall do Azure para proteger o Office 365
- Topologia de rede hub-spoke no Azure
- Rede de confiança zero para aplicativos Web com o Firewall do Azure e o Gateway de Aplicativo
- Implementar uma rede híbrida segura
- Aplicativo Web reforçado por rede com conectividade privada com armazenamentos de dados de PaaS
Próxima etapa
Implante uma instância do Firewall do Azure para ver como ela funciona:
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de