Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Firewall proporciona una aplicación centralizada de directivas de seguridad de red y registro en las redes virtuales. Las siguientes recomendaciones le ayudan a comprobar que las características de protección clave están activas y configuradas correctamente.
Para obtener un resumen de todas las recomendaciones de confianza cero de seguridad de red de Azure, consulte Recomendaciones de confianza cero de seguridad de red de Azure.
Recomendaciones
El tráfico saliente de las cargas de trabajo integradas en la red virtual se enruta a través de Azure Firewall
Azure Firewall es un servicio de seguridad de red nativo de la nube que proporciona inspección centralizada, registro y aplicación para el tráfico saliente. En una arquitectura de red segura, el tráfico saliente de cargas de trabajo integradas en la red virtual, como máquinas virtuales, clústeres de AKS, App Service y Functions, se deben enrutar explícitamente a través de Azure Firewall antes de llegar a servicios externos. Este enrutamiento garantiza que la inspección de seguridad de salida, incluida la filtración de inteligencia sobre amenazas, la detección y prevención de intrusiones, la inspección TLS y la aplicación de directivas de salida, se aplique a todos los flujos de salida. Sin este enrutamiento, el tráfico saliente omite completamente el firewall, dejando el entorno expuesto a la filtración de datos y la comunicación de comandos y control. Esta comprobación comprueba que la red eficaz enruta el tráfico saliente directo a la dirección IP privada del firewall para cargas de trabajo aptas en todas las suscripciones.
Para cargas de trabajo de alto tráfico que corren el riesgo de agotamiento de puertos SNAT, considere la posibilidad de implementar Azure NAT Gateway junto con Azure Firewall. Nat Gateway proporciona hasta 64 512 puertos SNAT por dirección IP pública en comparación con los 24 496 puertos SNAT de Azure Firewall por ip pública por instancia. Cuando se asocia con AzureFirewallSubnet, el NAT Gateway se encarga de la traducción de salida mientras que Azure Firewall continúa inspeccionando el tráfico, sin doble NAT.
Acción de corrección
- Configuración del enrutamiento de Azure Firewall
- Administración de tablas de rutas y rutas
- Control del tráfico saliente de App Service con Azure Firewall
- Reglas de seguridad de Azure Firewall
La inteligencia sobre amenazas está habilitada en modo de denegación en Azure Firewall
El filtrado de Azure Firewall basado en inteligencia contra amenazas alerta y deniega el tráfico desde y hacia direcciones IP malintencionadas conocidas, nombres de dominio completos (FQDN) y direcciones URL obtenidas de la fuente de Inteligencia contra amenazas de Microsoft. Cuando está habilitada, Azure Firewall evalúa el tráfico frente a las reglas de inteligencia sobre amenazas antes de aplicar la traducción de direcciones de red (NAT), la red o las reglas de aplicación. Esta comprobación comprueba que la inteligencia sobre amenazas está habilitada en el modo "Alerta y denegación" en la directiva de Azure Firewall. Sin esta característica habilitada, el entorno permanece expuesto a direcciones IP, dominios y URL malintencionadas conocidas, lo que crea riesgo de compromiso o filtración de datos.
Nota:
El modo "Alerta y denegación" requiere Azure Firewall Standard o Premium. Azure Firewall Basic solo admite el modo de alerta. Para obtener una comparación completa de características, consulte Elección de la SKU correcta de Azure Firewall.
Acción de corrección
La inspección de IDPS está habilitada en modo de denegación en Azure Firewall
Azure Firewall Premium ofrece el sistema de detección y prevención de intrusiones (IDPS) basado en firmas para detectar ataques mediante la identificación de patrones específicos, como secuencias de bytes en el tráfico de red o secuencias de instrucciones malintencionadas conocidas usadas por malware. Las firmas de IDPS se aplican tanto al tráfico de aplicaciones como al tráfico a nivel de red en las capas 3 a 7, se administran completamente y se actualizan continuamente, y se pueden aplicar al tráfico entrante, de extremo a extremo y de salida, incluido el tráfico hacia y desde redes locales en las instalaciones. Esta comprobación comprueba que IDPS está habilitado en modo "Alerta y denegación" en la directiva de Azure Firewall. Si IDPS está deshabilitado o en modo de solo alerta, los patrones malintencionados del tráfico de red no se bloquean activamente.
Acción de corrección
- Guía de implementación de características de Azure Firewall Premium
- Características de Azure Firewall por SKU
La inspección del tráfico TLS saliente está habilitada en Azure Firewall
Azure Firewall Premium proporciona inspección de seguridad de la capa de transporte (TLS) para descifrar, inspeccionar y volver a cifrar el tráfico cifrado saliente y este-oeste mediante un certificado de entidad de certificación (CA) proporcionado por el cliente almacenado en Azure Key Vault. La inspección de TLS permite funcionalidades de seguridad avanzadas, como el sistema de detección y prevención de intrusiones (IDPS) y el filtrado de direcciones URL para analizar el tráfico cifrado e identificar las amenazas que usan canales cifrados para eludir la detección. Sin la inspección tls habilitada, el firewall no puede inspeccionar las cargas cifradas, lo que limita significativamente la visibilidad de las amenazas que aprovechan TLS para omitir los controles de seguridad tradicionales.
Acción de corrección
- Habilitación de la inspección de TLS en Azure Firewall Premium
- Implementación de certificados con una entidad de certificación empresarial para la inspección de TLS prémium de Azure Firewall
- Creación y configuración de certificados de entidad de certificación intermedios para la inspección de TLS
- Almacenamiento de certificados en Azure Key Vault para la inspección de TLS
- Configuración de reglas de aplicación con inspección de TLS en la directiva de Azure Firewall
- Características de Azure Firewall por SKU
El registro de diagnóstico está habilitado en Azure Firewall
Azure Firewall procesa todo el tráfico de red entrante y saliente para cargas de trabajo protegidas, lo que lo convierte en un punto de control crítico para la supervisión de la seguridad. Cuando el registro de diagnóstico no está habilitado, los equipos de seguridad pierden visibilidad de los patrones de tráfico, los intentos de conexión denegados, las coincidencias de inteligencia sobre amenazas y las detecciones de firmas del Sistema de detección y prevención de intrusiones (IDPS). Sin registro, los actores de amenazas que obtienen acceso pueden moverse lateralmente sin detección y los respondedores de incidentes no pueden construir escalas de tiempo de ataque. Azure Firewall proporciona varias categorías de registro, incluidos los registros de reglas de aplicación, los registros de reglas de red, los registros de reglas de traducción de direcciones de red (NAT), los registros de inteligencia sobre amenazas, los registros de firma de IDPS y los registros de proxy DNS que se deben enrutar a un destino como Log Analytics, una cuenta de almacenamiento o un centro de eventos para la supervisión de la seguridad y el análisis forense.
Acción de corrección
- Creación de un área de trabajo de Log Analytics
- Crear configuraciones de diagnóstico en Azure Monitor
- Registros estructurados de Azure Firewall
- Manual de Azure Firewall
- Supervisión de Azure Firewall