Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Firewall do Azure é um serviço de segurança de rede gerenciado e baseado em nuvem que protege seus recursos da Rede Virtual do Azure. Como um firewall totalmente com estado oferecido como serviço, com alta disponibilidade integrada e escalabilidade de nuvem irrestrita, é fundamental configurar e proteger corretamente o Azure Firewall para maximizar a proteção da sua infraestrutura e dos seus aplicativos na nuvem.
Este artigo fornece diretrizes sobre como proteger melhor sua implantação do Firewall do Azure.
Segurança de rede
A segurança de rede do Firewall do Azure concentra-se na implantação adequada em sua infraestrutura de rede virtual e na garantia de recursos seguros de inspeção de tráfego. O Firewall do Azure serve como um ponto central para a imposição de segurança de rede, tornando sua configuração adequada essencial para proteger todo o perímetro de rede.
Implantar o Firewall do Azure em uma sub-rede dedicada: sempre implante o Firewall do Azure em sua própria sub-rede dedicada chamada "AzureFirewallSubnet" em sua rede virtual. Essa sub-rede requer um tamanho mínimo de /26 e não deve ter grupos de segurança de rede aplicados, pois o Firewall do Azure tem proteção de plataforma interna. Para obter mais informações, consulte Tutorial: Proteger a rede virtual do hub usando o Gerenciador de Firewall do Azure.
Habilitar a filtragem baseada em inteligência contra ameaças: configure a filtragem baseada em inteligência contra ameaças para alertar e negar o tráfego de endereços IP mal-intencionados conhecidos, FQDNs e URLs. Esse recurso processa regras antes de qualquer NAT, rede ou regras de aplicativo e fornece proteção com base no feed de inteligência contra ameaças da Microsoft. Comece no modo de alerta e progrida para o modo de alerta e negação após o teste. Para obter mais informações, confira Filtragem baseada em inteligência contra ameaças do Firewall do Azure.
Implemente o IDPS para detecção avançada de ameaças: use o IDPS (Sistema de Detecção e Prevenção de Intrusões) do Firewall premium do Azure para monitorar atividades de rede para assinaturas e padrões mal-intencionados. O IDPS fornece detecção baseada em assinatura com mais de 67.000 regras em mais de 50 categorias e pode operar no modo de alerta ou alerta e negação. Para obter mais informações, confira Recursos do Firewall do Azure Premium.
Configurar a funcionalidade de proxy DNS: habilite o recurso de proxy DNS do Firewall do Azure para garantir a resolução de nomes consistente entre os clientes e o firewall. Isso evita problemas em que clientes e firewall resolvem FQDNs para endereços IP diferentes, o que pode causar falhas de conexão. Para obter mais informações, consulte os detalhes do Proxy DNS do Firewall do Azure.
Use o túnel forçado para ambientes híbridos: configure o túnel forçado quando precisar rotear o tráfego associado à Internet por meio de dispositivos de segurança locais. Habilite a NIC de Gerenciamento para dar suporte a essa configuração, mantendo a conectividade de gerenciamento de firewall. Para obter mais informações, confira Túnel forçado do Firewall do Azure.
Habilitar a inspeção do TLS para tráfego criptografado: configure o Firewall do Azure Premium para inspecionar o tráfego TLS habilitando recursos de inspeção do TLS. Isso cria conexões TLS dedicadas para examinar o tráfego criptografado, mantendo a segurança. Você precisará fornecer certificados por meio do Azure Key Vault para essa funcionalidade. Para obter mais informações, confira Recursos do Firewall do Azure Premium.
Implementar a filtragem de categorias da Web: use categorias da Web para permitir ou negar acesso a categorias de sites específicas, como jogos de azar, mídias sociais ou conteúdo adulto. O Firewall do Azure Premium fornece um controle mais granular examinando a URL completa em vez de apenas o nome de domínio. Para obter mais informações, consulte as categorias da Web do Firewall do Azure.
Configurar vários endereços IP públicos: adicione vários endereços IP públicos para evitar o esgotamento da porta SNAT, que fornece 2.496 portas SNAT por IP público adicional. Considere usar o Gateway nat do Azure para recursos avançados de SNAT em cenários de alto tráfego. Para obter mais informações, consulte As práticas recomendadas para o desempenho do Firewall do Azure.
Proteção de dados
A proteção de dados no Firewall do Azure centra-se na proteção do tráfego em trânsito e no gerenciamento de certificados corretamente. Como o Firewall do Azure processa o tráfego de rede, garantir a criptografia adequada e o gerenciamento de certificados é crucial para manter a segurança de dados.
Use a criptografia gerenciada pela plataforma para dados em repouso: o Firewall do Azure criptografa automaticamente qualquer conteúdo do cliente em repouso usando chaves de plataforma gerenciadas pela Microsoft. Isso inclui certificados derivados gerados de certificados de cliente no Key Vault, garantindo que seus dados de configuração permaneçam protegidos sem configuração adicional.
Implementar a inspeção do TLS com o gerenciamento de certificado adequado: ao usar recursos de inspeção do TLS, configure o Firewall do Azure para usar certificados armazenados no Azure Key Vault. O firewall gera certificados derivados do certificado do cliente, mantendo a cadeia de segurança ao habilitar os recursos de inspeção de tráfego. Para obter mais informações, confira Certificados do Firewall do Azure Premium.
Impor protocolos de transferência seguros: configure suas políticas de firewall para impor HTTPS para aplicativos e serviços Web, garantindo que o TLS v1.2 ou posterior seja usado. Desabilite protocolos herdados como SSL 3.0 e TLS v1.0 para manter padrões de criptografia fortes.
Use a filtragem de URL para controle granular: habilite a filtragem de URL para estender os recursos de filtragem de FQDN para considerar URLs inteiras em vez de apenas nomes de domínio. Isso fornece um controle mais preciso sobre o tráfego da Web e reduz o risco de acessar conteúdo mal-intencionado por meio de domínios legítimos. Para obter mais informações, confira Recursos do Firewall do Azure Premium.
Acesso privilegiado
A segurança de acesso privilegiado para o Firewall do Azure se concentra em controlar o acesso administrativo e implementar a governança adequada para operações de gerenciamento de firewall.
Use o Azure Policy para governança e conformidade: implemente definições do Azure Policy para impor requisitos de segurança, como habilitar a inteligência contra ameaças, implantar entre zonas de disponibilidade e garantir que apenas o tráfego criptografado seja permitido. Use políticas internas como "A Política de Firewall do Azure deve habilitar a Inteligência contra Ameaças" para manter a conformidade. Para obter mais informações, consulte Usar o Azure Policy para ajudar a proteger suas implantações do Firewall do Azure.
Implementar acesso de privilégios mínimos com RBAC: aplique o controle de acesso baseado em função para limitar quem pode modificar as configurações e as políticas de firewall. Use funções específicas do Firewall do Azure e funções personalizadas para garantir que os usuários tenham apenas as permissões mínimas necessárias para suas responsabilidades.
Habilitar a análise de políticas para otimização de regras: use a Análise de Política de Firewall do Azure para identificar regras não utilizadas, otimizar o desempenho das regras e manter políticas de segurança limpas. Isso ajuda a reduzir a superfície de ataque e melhora o desempenho do firewall. Para obter mais informações, consulte Usar o Azure Policy para ajudar a proteger suas implantações do Firewall do Azure.
Registro em log e detecção de ameaças
O registro em log e o monitoramento abrangentes são essenciais para a segurança do Firewall do Azure, habilitando a detecção de ameaças, a investigação de segurança e os relatórios de conformidade. A configuração de log adequada fornece visibilidade dos padrões de tráfego de rede e eventos de segurança.
Habilitar o log de diagnóstico do Firewall do Azure: Defina as configurações de diagnóstico para capturar logs e métricas do Firewall do Azure, enviando-os para o coletor de dados de sua preferência, como um espaço de trabalho do Log Analytics, uma conta de armazenamento ou um hub de eventos. Isso fornece informações detalhadas sobre tráfego autorizado e bloqueado, incidentes de inteligência de ameaças e desempenho do firewall. Para mais informações, veja Monitorar logs e métricas do Azure Firewall.
Integre-se ao Microsoft Sentinel para detecção avançada de ameaças: conecte os logs do Firewall do Azure ao Microsoft Sentinel para habilitar a análise de segurança avançada, a correlação com outros eventos de segurança e os recursos de resposta automatizados. Use o conector do Firewall do Azure para detectar malware e analisar padrões de ameaça. Para obter mais informações, consulte Detectar malware com o Firewall do Azure e o Microsoft Sentinel.
Monitorar alertas de inteligência contra ameaças: configure o monitoramento de alertas de inteligência contra ameaças para identificar e responder rapidamente ao tráfego de fontes mal-intencionadas conhecidas. Configure respostas automatizadas para correspondências de inteligência contra ameaças de alta prioridade para bloquear invasores antes que eles possam estabelecer persistência.
Configurar monitoramento de desempenho e alertas: use o Azure Monitor para acompanhar as métricas de desempenho do firewall, incluindo taxa de transferência, latência, utilização da porta SNAT e contagens de ocorrências de regra. Configure alertas para limites críticos para garantir o desempenho ideal do firewall e evitar a interrupção do serviço. Para obter mais informações, consulte As práticas recomendadas para o desempenho do Firewall do Azure.
Implementar a personalização da regra de assinatura IDPS: personalize as regras de assinatura do IDPS alterando seu modo de alerta para alerta e negação para ameaças de alta prioridade ou desabilite assinaturas que geram falsos positivos. Utilize recursos de pesquisa inteligente para encontrar assinaturas específicas por CVE-ID, ou outros atributos.
Configurar políticas de retenção de log: defina as políticas de retenção de log apropriadas com base nos requisitos de conformidade e nas necessidades de investigação. Verifique se os logs são retidos por tempo suficiente para dar suporte a investigações de segurança e atender às obrigações regulatórias.
Gerenciamento de ativos
O gerenciamento de ativos para o Firewall do Azure envolve o uso do Azure Policy para monitoramento e imposição de configuração, garantindo uma postura de segurança consistente em suas implantações de firewall.
Implementar o Azure Policy para a imposição de configuração: use o Azure Policy para monitorar e impor as configurações do Firewall do Azure em seu ambiente. Implante políticas que exijam habilitação de inteligência contra ameaças, implantação de zona de disponibilidade e uso de SKU Premium para recursos de segurança aprimorados. Para obter mais informações, consulte Usar o Azure Policy para ajudar a proteger suas implantações do Firewall do Azure.
Use a integração do Microsoft Defender para Nuvem: habilite o Monitoramento do Microsoft Defender para Nuvem para que seus recursos do Firewall do Azure recebam recomendações de segurança e avaliações de conformidade. Isso fornece gerenciamento de segurança centralizado e ajuda a identificar falhas de segurança ou de descompasso de configuração.
Atualizar para o Firewall do Azure Premium: considere atualizar do SKU Standard para Premium para acessar recursos de segurança avançados, incluindo IDPS, inspeção do TLS, filtragem de URL e categorias da Web. O Premium fornece proteção avançada contra ameaças adequada para ambientes altamente regulamentados. Para obter mais informações, consulte Escolher a SKU certa do Firewall do Azure para atender às suas necessidades.
Otimizar a configuração de regra para desempenho: organize regras de firewall usando grupos de coleta de regras e coleções de regras, priorizando-as com base na frequência de uso. Use grupos de IP para reduzir o número de regras de IP individuais e garantir que você permaneça dentro dos limites do Firewall do Azure. Para obter mais informações, consulte As práticas recomendadas para o desempenho do Firewall do Azure.
Configurar padrões de implantação baseados em política: estabelecer e impor padrões de implantação por meio dos efeitos "negar" e "implantar se não existir" do Azure Policy. Isso garante que todas as novas implantações do Firewall do Azure atendam automaticamente aos requisitos de segurança da sua organização.
Monitorar a conformidade com as linhas de base de segurança: examine regularmente as configurações do Firewall do Azure em relação ao parâmetro de comparação de segurança de nuvem da Microsoft usando o painel de conformidade regulatória do Microsoft Defender para Nuvem. Isso ajuda a manter a postura de segurança consistente e identifica áreas de melhoria.