Quando usar o Firewall do Azure Premium
As organizações podem usar recursos Premium do Firewall do Azure, como inspeção de IDPS e TLS, para impedir que malware e vírus se espalhem entre redes em direções laterais e horizontais. Para atender às maiores demandas de desempenho da inspeção IDPS e TLS, o Firewall do Azure Premium usa um SKU de máquina virtual mais potente. Assim como o SKU Standard, o SKU Premium pode perfeitamente escalar verticalmente para até 30 Gbps e integrar-se às zonas de disponibilidade para dar suporte ao SLA (Contrato de Nível de Serviço) de 99,99%. O SKU Premium está em conformidade com as necessidades de ambiente do PCI DSS (padrão de segurança de dados da indústria de cartão de pagamento).
Para decidir se o Firewall do Azure Premium é adequado para sua organização, considere os seguintes cenários:
Você deseja inspecionar o tráfego de rede de saída criptografado por TLS
A Inspeção do TLS Premium do Firewall do Azure pode descriptografar o tráfego de saída, processar os dados e criptografar os dados e enviá-los para o destino.
O Firewall do Azure Premium encerra as conexões TLS de saída e leste-oeste. Há suporte à inspeção de TLS de entrada com o Gateway de Aplicativo do Azure permitindo a criptografia de ponta a ponta. O Firewall do Azure realiza as funções de segurança de valor agregado necessárias e criptografa novamente o tráfego que é enviado ao destino original.
Você deseja proteger sua rede usando detecção de tráfego mal-intencionado com base em assinatura
Um sistema de detecção e prevenção de intrusões de rede (IDPS) permite monitorar sua rede para atividades mal-intencionadas. Ele também permite que você registre informações sobre essas atividades, relate-as e, opcionalmente, tente bloqueá-las.
O Firewall do Azure Premium fornece IDPS baseados em assinatura para permitir uma detecção rápida de ataques ao procurar padrões específicos, como sequências de bytes no tráfego de rede, ou sequências de instruções mal-intencionadas conhecidas que são usadas por malware. As assinaturas IDPS são aplicáveis ao tráfego de aplicativo e de nível de rede (Camadas 4-7). Elas são totalmente gerenciadas e atualizadas continuamente. Você pode aplicar o IDPS ao tráfego de entrada, spoke-to-spoke (leste-oeste) e de saída.
As assinaturas e os conjuntos de regras do Firewall do Azure incluem:
- Uma ênfase na impressão digital de malware real, no comando e no controle, nos kits de exploração e nas atividades mal-intencionadas e não controladas que não são detectadas por métodos de prevenção tradicionais.
- Mais de 55 mil regras em mais de 50 categorias.
- As categorias incluem comando e controle de malware, ataques de DoS, botnets, eventos informativos, explorações, vulnerabilidades, protocolos de rede SCADA, atividades de kit de exploração, entre outros.
- Todos os dias, são lançadas de 20 a mais de 40 novas regras.
- Baixa classificação de falsos positivos com a área restrita de malware de última geração e o loop de feedback de rede do sensor global.
O IDPS permite detectar ataques em todas as portas e protocolos para o tráfego não criptografado. No entanto, quando o tráfego HTTPS precisa ser inspecionado, o Firewall do Azure pode usar seu recurso de inspeção de TLS a fim de descriptografar o tráfego e detectar de forma mais adequada as atividades mal-intencionadas.
A lista de bypass do IDPS permite que você não filtre o tráfego para nenhum dos endereços IP, intervalos e sub-redes especificados na lista de bypass.
Você também pode usar regras de assinatura quando o modo IDPS é definido como Alerta. Porém, há uma ou mais assinaturas específicas que você deseja bloquear, incluindo o tráfego associado. Nesse caso, você pode adicionar novas regras de assinatura definindo o modo de inspeção TLS como negar.
Você deseja estender a capacidade de filtragem de FQDN do Firewall do Azure para considerar uma URL inteira
O Firewall do Azure Premium pode filtrar em uma URL inteira. Por exemplo, www.contoso.com/a/c em vez de www.contoso.com.
A filtragem de URL pode ser aplicada ao tráfego HTTP e HTTPS. Quando o tráfego HTTPS é inspecionado, o Firewall do Azure Premium pode usar seu recurso de inspeção de TLS para descriptografar o tráfego e extrair a URL de destino a fim de validar se o acesso é permitido. A inspeção de TLS requer aceitação no nível da regra de aplicativo. Depois de habilitada, use URLs para a filtragem com HTTPS.
Você deseja permitir ou negar o acesso com base em categorias
O recurso de categorias da Web permite que os administradores permitam ou neguem o acesso do usuário a categorias de sites da Web, como sites de jogo, sites de redes sociais e outros. As categorias da Web também estão incluídas no Firewall do Azure Standard, mas são mais ajustadas no Firewall do Azure Premium. Ao contrário do recurso de categorias da Web na SKU padrão que corresponde à categoria com base em um FQDN, a SKU Premium corresponde à categoria de acordo com a URL inteira para o tráfego HTTP e HTTPS.
Por exemplo, se o Firewall do Azure interceptar uma solicitação HTTPS para www.google.com/news, a seguinte categorização será esperada:
- Firewall Standard – somente a parte FQDN é examinada, portanto, www.google.com é categorizado como Mecanismo de pesquisa.
- Firewall Premium – a URL completa é examinada, portanto, www.google.com/news é categorizado como Notícias.
As categorias são organizadas com base na gravidade de responsabilidade, alta largura de banda, uso comercial, perda de produtividade, navegação geral e não categorizado.