Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Firewall es un servicio de seguridad de red administrado y basado en la nube que protege los recursos de Azure Virtual Network. Como un firewall con estado total como servicio con alta disponibilidad integrada y escalabilidad en la nube sin restricciones, es fundamental configurar y asegurar correctamente Azure Firewall para maximizar la protección de su infraestructura y aplicaciones en la nube.
En este artículo se proporcionan instrucciones sobre cómo proteger mejor la implementación de Azure Firewall.
Seguridad de red
La seguridad de red para Azure Firewall se centra en la implementación adecuada dentro de la infraestructura de red virtual y garantiza las funcionalidades seguras de inspección del tráfico. Azure Firewall actúa como punto central para el cumplimiento de la seguridad de red, lo que hace que su configuración adecuada sea esencial para proteger todo el perímetro de red.
Implementación de Azure Firewall en una subred dedicada: implemente Siempre Azure Firewall en su propia subred dedicada denominada "AzureFirewallSubnet" dentro de la red virtual. Esta subred requiere un tamaño mínimo de /26 y no debe tener aplicados grupos de seguridad de red, ya que Azure Firewall tiene protección de plataforma integrada. Para más información, consulte Tutorial: Protección de la red virtual del centro de conectividad mediante Azure Firewall Manager.
Habilitar el filtrado basado en inteligencia sobre amenazas: configure el filtrado basado en inteligencia sobre amenazas para alertar y denegar el tráfico de direcciones IP malintencionadas conocidas, FQDN y direcciones URL. Esta característica procesa las reglas antes de cualquier NAT, red o reglas de aplicación y proporciona protección basada en la fuente de inteligencia sobre amenazas de Microsoft. Comience en modo de alerta y avance al modo de alerta y denegación después de las pruebas. Para más información, consulte Filtrado basado en inteligencia sobre amenazas de Azure Firewall.
Implementar IDPS para la detección de amenazas avanzadas: use el sistema de detección y prevención de intrusiones (IDPS) de Azure Firewall Premium para supervisar las actividades de red en busca de patrones y firmas de comportamiento malintencionado. IDPS proporciona detección basada en firmas con más de 67 000 reglas en más de 50 categorías y puede funcionar en modo de alerta o alerta y denegación. Para más información, consulte Características de Azure Firewall Prémium.
Configuración de la funcionalidad del proxy DNS: habilite la característica de proxy DNS de Azure Firewall para garantizar una resolución de nombres coherente entre los clientes y el firewall. Esto evita problemas en los que los clientes y el firewall resuelven los FQDN en direcciones IP diferentes, lo que podría provocar errores de conexión. Para más información, consulte Detalles del proxy DNS de Azure Firewall.
Usar la tunelización forzada para entornos híbridos: configure la tunelización forzada cuando necesite enrutar el tráfico enlazado a Internet a través de dispositivos de seguridad locales. Habilite la NIC de administración para admitir esta configuración al tiempo que mantiene la conectividad de administración del firewall. Para más información, consulte Tunelización forzada de Azure Firewall.
Habilitación de la inspección de TLS para el tráfico cifrado: configure Azure Firewall Premium para inspeccionar el tráfico TLS habilitando las características de inspección de TLS. Esto crea conexiones TLS dedicadas para examinar el tráfico cifrado mientras se mantiene la seguridad. Deberá proporcionar certificados a través de Azure Key Vault para esta funcionalidad. Para más información, consulte Características de Azure Firewall Prémium.
Implementar el filtrado de categorías web: use categorías web para permitir o denegar el acceso a categorías de sitios web específicas, como juegos de azar, redes sociales o contenido para adultos. Azure Firewall Premium proporciona un control más pormenorizado examinando la dirección URL completa en lugar de simplemente el nombre de dominio. Para más información, consulte Categorías web de Azure Firewall.
Configurar varias direcciones IP públicas: agregue varias direcciones IP públicas para evitar el agotamiento de puertos SNAT, que proporciona 2496 puertos SNAT por ip pública adicional. Considere la posibilidad de usar Azure NAT Gateway para funcionalidades avanzadas de SNAT en escenarios de alto tráfico. Para más información, consulte Procedimientos recomendados para el rendimiento de Azure Firewall.
Protección de los datos
La protección de datos en Azure Firewall se centra en proteger el tráfico en tránsito y administrar los certificados correctamente. Dado que Azure Firewall procesa el tráfico de red, garantizar el cifrado y la administración de certificados adecuados es fundamental para mantener la seguridad de los datos.
Uso del cifrado administrado por la plataforma para los datos en reposo: Azure Firewall cifra automáticamente cualquier contenido de cliente en reposo mediante claves de plataforma administradas por Microsoft. Esto incluye los certificados derivados generados a partir de certificados de cliente en Key Vault, lo que garantiza que los datos de configuración permanecen protegidos sin configuración adicional.
Implementación de la inspección de TLS con la administración de certificados adecuada: al usar características de inspección de TLS, configure Azure Firewall para usar certificados almacenados en Azure Key Vault. El firewall genera certificados derivados del certificado de cliente, manteniendo la cadena de seguridad al tiempo que habilita las funcionalidades de inspección del tráfico. Para más información, consulte Certificados de Azure Firewall Prémium.
Aplicar protocolos de transferencia seguros: configure las directivas de firewall para aplicar HTTPS para aplicaciones y servicios web, lo que garantiza que se use TLS v1.2 o posterior. Deshabilite protocolos heredados como SSL 3.0 y TLS v1.0 para mantener estándares de cifrado sólidos.
Usar el filtrado de direcciones URL para el control pormenorizado: habilite el filtrado de direcciones URL para ampliar las funcionalidades de filtrado de FQDN para tener en cuenta direcciones URL completas en lugar de simplemente nombres de dominio. Esto proporciona un control más preciso sobre el tráfico web y reduce el riesgo de acceder a contenido malintencionado a través de dominios legítimos. Para más información, consulte Características de Azure Firewall Prémium.
Acceso con privilegios
La seguridad de acceso con privilegios para Azure Firewall se centra en controlar el acceso administrativo e implementar una gobernanza adecuada para las operaciones de administración del firewall.
Use Azure Policy para la gobernanza y el cumplimiento: implemente definiciones de Azure Policy para aplicar requisitos de seguridad, como habilitar la inteligencia sobre amenazas, realizar implementaciones en zonas de disponibilidad y garantizar que solo se permita el tráfico cifrado. Use directivas integradas como "Azure Firewall Policy debería habilitar Inteligencia de Amenazas" para mantener el cumplimiento. Para más información, consulte Uso de Azure Policy para ayudar a proteger las implementaciones de Azure Firewall.
Implementación del acceso con privilegios mínimos con RBAC: aplique el control de acceso basado en roles para limitar quién puede modificar las directivas y las configuraciones del firewall. Use roles específicos de Azure Firewall y roles personalizados para asegurarse de que los usuarios solo tienen los permisos mínimos necesarios para sus responsabilidades.
Habilitación del análisis de directivas para la optimización de reglas: use Azure Firewall Policy Analytics para identificar reglas no usadas, optimizar el rendimiento de las reglas y mantener directivas de seguridad limpias. Esto ayuda a reducir la superficie expuesta a ataques y mejora el rendimiento del firewall. Para más información, consulte Uso de Azure Policy para ayudar a proteger las implementaciones de Azure Firewall.
Registro y detección de amenazas
El registro y la supervisión completos son esenciales para la seguridad de Azure Firewall, lo que permite la detección de amenazas, la investigación de seguridad y los informes de cumplimiento. La configuración correcta del registro proporciona visibilidad sobre los patrones de tráfico de red y los eventos de seguridad.
Habilitar el registro de diagnóstico de Azure Firewall: configure la configuración de diagnóstico para capturar los registros y las métricas de Azure Firewall y enviarlos al receptor de datos preferido, como un área de trabajo de Log Analytics, una cuenta de almacenamiento o un centro de eventos. Esto proporciona información detallada sobre el tráfico permitido y denegado, los aciertos de inteligencia sobre amenazas y el rendimiento del firewall. Para más información, consulte Supervisión de métricas y registros de Azure Firewall.
Integración con Microsoft Sentinel para la detección avanzada de amenazas: conecte los registros de Azure Firewall a Microsoft Sentinel para habilitar análisis de seguridad avanzados, correlación con otros eventos de seguridad y funcionalidades de respuesta automatizadas. Use el conector de Azure Firewall para detectar malware y analizar patrones de amenazas. Para más información, consulte Detección de malware con Azure Firewall y Microsoft Sentinel.
Supervisión de alertas de inteligencia sobre amenazas: configure la supervisión de alertas de inteligencia sobre amenazas para identificar y responder rápidamente al tráfico de orígenes malintencionados conocidos. Configura sistemas de respuesta automatizados para coincidencias de inteligencia de amenazas de alta prioridad con el fin de bloquear a los atacantes antes de que puedan establecer una presencia persistente.
Configuración de la supervisión y las alertas de rendimiento: use Azure Monitor para realizar un seguimiento de las métricas de rendimiento del firewall, como el rendimiento, la latencia, el uso de puertos SNAT y los recuentos de aciertos de reglas. Configure alertas para umbrales críticos para garantizar un rendimiento óptimo del firewall y evitar la interrupción del servicio. Para más información, consulte Procedimientos recomendados para el rendimiento de Azure Firewall.
Implementación de la personalización de reglas de firma de IDPS: personalice las reglas de firma de IDPS cambiando su modo de alerta a alerta y denegación para amenazas de alta prioridad o deshabilite las firmas que generan falsos positivos. Use funcionalidades de búsqueda inteligente para buscar firmas específicas por CVE-ID u otros atributos.
Configurar directivas de retención de registros: establezca las directivas de retención de registros adecuadas en función de los requisitos de cumplimiento y las necesidades de investigación. Asegúrese de que los registros se guarden el tiempo suficiente para apoyar las investigaciones de seguridad y cumplir con las obligaciones normativas.
Administración de recursos
La administración de recursos para Azure Firewall implica el uso de Azure Policy para la supervisión y aplicación de la configuración, lo que garantiza una posición de seguridad coherente en las implementaciones de firewall.
Implementación de Azure Policy para el cumplimiento de la configuración: use Azure Policy para supervisar y aplicar configuraciones de Azure Firewall en todo el entorno. Implemente directivas que requieran la habilitación de inteligencia sobre amenazas, la implementación de zonas de disponibilidad y el uso de SKU Premium para características de seguridad mejoradas. Para más información, consulte Uso de Azure Policy para ayudar a proteger las implementaciones de Azure Firewall.
Uso de la integración de Microsoft Defender for Cloud: habilite la supervisión de Microsoft Defender for Cloud para los recursos de Azure Firewall para recibir recomendaciones de seguridad y evaluaciones de cumplimiento. Esto proporciona administración de seguridad centralizada y ayuda a identificar el desfase de configuración o las brechas de seguridad.
Actualización a Azure Firewall Premium: considere la posibilidad de actualizar de la SKU Estándar a Premium para acceder a características de seguridad avanzadas, como IDPS, inspección de TLS, filtrado de direcciones URL y categorías web. Premium proporciona protección contra amenazas mejorada adecuada para entornos altamente regulados. Para más información, consulte Elección de la SKU correcta de Azure Firewall para satisfacer sus necesidades.
Optimización de la configuración de reglas para el rendimiento: organice las reglas de firewall mediante grupos de recopilación de reglas y recopilaciones de reglas, priorizándolas en función de la frecuencia de uso. Use grupos de IP para reducir el número de reglas ip individuales y asegurarse de que permanece dentro de los límites de Azure Firewall. Para más información, consulte Procedimientos recomendados para el rendimiento de Azure Firewall.
Configuración de estándares de implementación basados en directivas: establezca y aplique los estándares de implementación a través de los efectos de "denegar" e "implementar si no existe". Esto garantiza que todas las nuevas implementaciones de Azure Firewall cumplan automáticamente los requisitos de seguridad de su organización.
Supervisar el cumplimiento de las líneas de base de seguridad: revise periódicamente las configuraciones de Azure Firewall en la prueba comparativa de seguridad en la nube de Microsoft mediante el panel de cumplimiento normativo de Microsoft Defender for Cloud. Esto ayuda a mantener una posición de seguridad coherente e identifica las áreas para mejorar.