Cambio de la SKU de Azure Firewall

En este artículo se muestra cómo cambiar la SKU de Azure Firewall entre Estándar y Premium. Puede actualizar de Estándar a Premium para aprovechar las funcionalidades de seguridad mejoradas o cambiar de Premium a Estándar cuando esas características ya no sean necesarias. Azure Firewall Premium proporciona características avanzadas de protección contra amenazas, como idPS, inspección de TLS y filtrado de direcciones URL.

Puede cambiar la SKU del firewall mediante uno de los dos métodos:

• Método de cambio de SKU fácil (recomendado): actualización o degradación sin tiempo de inactividad mediante Azure Portal, PowerShell o Terraform
• Método de migración manual: una migración paso a paso en escenarios complejos o cuando no se encuentra disponible de forma fácil el cambio de SKU

Para más información sobre las características de Azure Firewall Premium, consulte Características de Azure Firewall Premium.

Prerrequisitos

Antes de comenzar, asegúrese de que tiene:

• Una suscripción de Azure con una implementación de Azure Firewall existente
• Permisos adecuados para modificar recursos de firewall (rol Colaborador de red o superior)
• Módulo de Azure PowerShell versión 6.5.0 o posterior (para los métodos de PowerShell)
• Una ventana de mantenimiento planeado (para el método de migración manual)

Método de cambio de SKU fácil (recomendado)

La manera más fácil de cambiar la SKU de Azure Firewall sin tiempo de inactividad es usar la característica Cambiar SKU . Este método admite la actualización de Estándar a Premium y la degradación de Premium a Estándar.

Cuándo usar un cambio sencillo de SKU

Use el método de cambio de SKU fácil cuando:

• Tiene una instancia de Azure Firewall con una directiva de firewall (no reglas clásicas)
• El firewall se implementa en una región admitida
• Quiere minimizar el tiempo de inactividad (cero tiempo de inactividad con este método)
• Tiene una implementación estándar sin configuraciones personalizadas complejas.
• Para la retrogradación: Tu política Premium no usa características exclusivas Premium que no sean compatibles con Standard

Consideraciones de directiva para los cambios de SKU

Actualización a Premium

Durante el proceso de actualización, elija cómo controlar la directiva de firewall:

• Directiva Premium existente: seleccione una directiva Premium existente para asociarla al firewall actualizado.
• Directiva estándar existente: use la directiva estándar actual. El sistema duplica y actualiza automáticamente la póliza a una Premium.
• Crear una nueva directiva Premium: permitir que el sistema cree una nueva directiva Premium en función de la configuración actual

Degradación a Estándar

Al cambiar de Premium a Estándar, tenga en cuenta los siguientes requisitos de directiva:

Características de cuentas Premium que se deben abordar antes de la degradación:

• Inspección de TLS: deshabilite las reglas de inspección de TLS y quite los certificados asociados
• IDPS (detección y prevención de intrusiones): cambie el modo IDPS de alerta y denegación a solo alerta o desactivado.
• Filtrado de direcciones URL: reemplace las reglas de filtrado de direcciones URL por el filtrado de FQDN siempre que sea posible.
• Categorías web: quitar o reemplazar reglas de categoría web por reglas FQDN específicas

Opciones de gestión de políticas:

• Usar una directiva estándar existente: seleccione una directiva estándar preexistente que no contenga características Premium.
• Crear una nueva directiva estándar: el sistema puede crear una nueva directiva estándar, quitando automáticamente las características específicas de Premium.
• Modificar la política actual: Elimine manualmente las características Premium de su política actual antes de realizar una degradación.

Cambio de la SKU mediante Azure Portal

Para cambiar la SKU del firewall mediante Azure Portal:

Actualización a Premium

1. Inicie sesión en Azure Portal.
2. Vaya al recurso de Azure Firewall.
3. En la página Información general , seleccione Cambiar SKU.
4. En el cuadro de diálogo Cambio de SKU, seleccione Premium como SKU de destino.
5. Elija la opción de política.
   • Seleccione una política Premium existente o
   • Permitir que el sistema actualice la directiva estándar actual a Premium
6. Seleccione Guardar para comenzar la actualización.

Degradación a Estándar

1. Inicie sesión en Azure Portal.
2. Vaya al recurso de Azure Firewall Premium.
3. Antes de degradar: asegúrese de que la directiva de firewall no contiene características exclusivas premium (inspección de TLS, modo de alerta de IDPS y denegación, filtrado de direcciones URL, categorías web).
4. En la página Información general , seleccione Cambiar SKU.
5. En el cuadro de diálogo Cambio de SKU, seleccione Estándar como SKU de destino.
6. Elija la opción de política.
   • Seleccione una directiva estándar existente o
   • Permitir que el sistema cree una nueva directiva estándar (las características Premium se quitan automáticamente)
7. Seleccione Guardar para comenzar la degradación.

El proceso de cambio de SKU normalmente se completa en unos minutos sin tiempo de inactividad.

Cambio de SKU de PowerShell y Terraform

También puede realizar cambios de SKU mediante:

• PowerShell: cambie la sku_tier propiedad a "Premium" o "Estándar".
• Terraform: actualice el sku_tier atributo de la configuración a la SKU deseada.

Limitaciones

El método de cambio de SKU fácil tiene las siguientes limitaciones:

Limitaciones generales:

• No admite la SKU básica de Azure Firewall : los usuarios de la SKU básica deben migrar primero a Estándar.
• No disponible para firewalls con determinadas configuraciones complejas
• Disponibilidad limitada en algunas regiones
• Requiere una directiva de firewall existente (no disponible para las reglas clásicas)

Limitaciones específicas para la regresión:

• Las características Premium (inspección de TLS, alerta de IDPS y modo de denegación, filtrado de direcciones URL, categorías web) deben quitarse antes de la degradación.
• Si la directiva Premium contiene características incompatibles, debe modificar la directiva o crear una nueva directiva estándar.
• Es posible que algunas configuraciones de regla necesiten un ajuste manual después de la degradación.

Si el método de cambio de SKU fácil no está disponible para su escenario, use el método de migración manual descrito en la sección siguiente.

Método de migración manual

Si el método de actualización fácil no está disponible o adecuado para la implementación, puede usar el método de migración manual. Este enfoque proporciona más control, pero requiere tiempo de inactividad.

Cuándo usar la migración manual

Use la migración manual cuando:

• La actualización sencilla no está disponible para su escenario
• Tiene reglas de firewall clásicas que necesitan migración
• Tiene configuraciones personalizadas complejas.
• Necesita un control total sobre el proceso de migración.
• El firewall se implementa en el Sudeste Asiático con zonas de disponibilidad

Consideraciones sobre el rendimiento

El rendimiento es una consideración al migrar desde la SKU estándar. La inspección de IDPS y TLS son operaciones que requieren mucha capacidad de cálculo. La SKU Premium usa una SKU de máquina virtual más potente que se escala a un rendimiento superior comparable a la SKU Estándar. Para más información sobre el rendimiento de Azure Firewall, consulte Rendimiento de Azure Firewall.

Microsoft recomienda a los clientes realizar pruebas a escala completa en su implementación de Azure para asegurarse de que el rendimiento del servicio de firewall cumple sus expectativas.

Consideraciones de tiempo de inactividad

Planee una ventana de mantenimiento al usar el método de migración manual, ya que hay algún tiempo de inactividad (normalmente de 20 a 30 minutos) durante el proceso de detención e inicio.

Introducción a los pasos de migración

Los siguientes pasos generales son necesarios para una migración manual correcta:

1. Cree una nueva directiva Premium basada en la directiva estándar existente o en las reglas clásicas.
2. Migración de Azure Firewall de Estándar a Premium mediante stop/start
3. Adjunte la directiva Premium al firewall Premium

Paso 1: Migración de reglas clásicas a una directiva estándar

Si tiene reglas de firewall clásicas, migre primero a una directiva estándar mediante Azure Portal:

1. En Azure Portal, seleccione el firewall estándar.
2. En la página Información general , seleccione Migrar a la directiva de firewall.
3. En la página Migrar a la directiva de firewall , seleccione Revisar y crear.
4. Selecciona Crear.

La implementación tarda unos minutos en completarse.

También puede migrar reglas clásicas existentes mediante Azure PowerShell. Para más información, consulte Migración de configuraciones de Azure Firewall a la directiva de Azure Firewall mediante PowerShell.

Paso 2: Creación de una directiva Premium mediante PowerShell

Use el siguiente script de PowerShell para crear una nueva directiva Premium a partir de una directiva estándar existente:

<#
    .SYNOPSIS
        Given an Azure firewall policy id the script will transform it to a Premium Azure firewall policy.
        The script will first pull the policy, transform/add various parameters and then upload a new premium policy.
        The created policy will be named <previous_policy_name>_premium if no new name provided else new policy will be named as the parameter passed.
    .Example
        Transform-Policy -PolicyId /subscriptions/XXXXX-XXXXXX-XXXXX/resourceGroups/some-resource-group/providers/Microsoft.Network/firewallPolicies/policy-name -NewPolicyName <optional param for the new policy name>
#>

param (
    #Resource id of the azure firewall policy.
    [Parameter(Mandatory=$true)]
    [string]
    $PolicyId,

    #new filewallpolicy name, if not specified will be the previous name with the '_premium' suffix
    [Parameter(Mandatory=$false)]
    [string]
    $NewPolicyName = ""
)
$ErrorActionPreference = "Stop"
$script:PolicyId = $PolicyId
$script:PolicyName = $NewPolicyName

function ValidatePolicy {
    [CmdletBinding()]
    param (
        [Parameter(Mandatory=$true)]
        [Object]
        $Policy
    )

    Write-Host "Validating resource is as expected"

    if ($null -eq $Policy) {
        Write-Error "Received null policy"
        exit(1)
    }
    if ($Policy.GetType().Name -ne "PSAzureFirewallPolicy") {
        Write-Error "Resource must be of type Microsoft.Network/firewallPolicies"
        exit(1)
    }

    if ($Policy.Sku.Tier -eq "Premium") {
        Write-Host "Policy is already premium" -ForegroundColor Green
        exit(1)
    }
}

function GetPolicyNewName {
    [CmdletBinding()]
    param (
        [Parameter(Mandatory=$true)]
        [Microsoft.Azure.Commands.Network.Models.PSAzureFirewallPolicy]
        $Policy
    )

    if (-not [string]::IsNullOrEmpty($script:PolicyName)) {
        return $script:PolicyName
    }

    return $Policy.Name + "_premium"
}

function TransformPolicyToPremium {
    [CmdletBinding()]
    param (
        [Parameter(Mandatory=$true)]
        [Microsoft.Azure.Commands.Network.Models.PSAzureFirewallPolicy]
        $Policy
    )
    $NewPolicyParameters = @{
                        Name = (GetPolicyNewName -Policy $Policy)
                        ResourceGroupName = $Policy.ResourceGroupName
                        Location = $Policy.Location
                        BasePolicy = $Policy.BasePolicy.Id
                        ThreatIntelMode = $Policy.ThreatIntelMode
                        ThreatIntelWhitelist = $Policy.ThreatIntelWhitelist
                        PrivateRange = $Policy.PrivateRange
                        DnsSetting = $Policy.DnsSettings
                        SqlSetting = $Policy.SqlSetting
                        ExplicitProxy  = $Policy.ExplicitProxy
                        DefaultProfile  = $Policy.DefaultProfile
                        Tag = $Policy.Tag
                        SkuTier = "Premium"
    }

    Write-Host "Creating new policy"
    $premiumPolicy = New-AzFirewallPolicy @NewPolicyParameters

    Write-Host "Populating rules in new policy"
    foreach ($ruleCollectionGroup in $Policy.RuleCollectionGroups) {
        $ruleResource = Get-AzResource -ResourceId $ruleCollectionGroup.Id
        $ruleToTransform = Get-AzFirewallPolicyRuleCollectionGroup -AzureFirewallPolicy $Policy -Name $ruleResource.Name
        $ruleCollectionGroup = @{
            FirewallPolicyObject = $premiumPolicy
            Priority = $ruleToTransform.Properties.Priority
            Name = $ruleToTransform.Name
        }

        if ($ruleToTransform.Properties.RuleCollection.Count) {
            $ruleCollectionGroup["RuleCollection"] = $ruleToTransform.Properties.RuleCollection
        }

        Set-AzFirewallPolicyRuleCollectionGroup @ruleCollectionGroup
    }
}

function ValidateAzNetworkModuleExists {
    Write-Host "Validating needed module exists"
    $networkModule = Get-InstalledModule -Name "Az.Network" -MinimumVersion 4.5 -ErrorAction SilentlyContinue
    if ($null -eq $networkModule) {
        Write-Host "Please install Az.Network module version 4.5.0 or higher, see instructions: https://github.com/Azure/azure-powershell#installation"
        exit(1)
    }
    $resourceModule = Get-InstalledModule -Name "Az.Resources" -MinimumVersion 4.2 -ErrorAction SilentlyContinue
    if ($null -eq $resourceModule) {
        Write-Host "Please install Az.Resources module version 4.2.0 or higher, see instructions: https://github.com/Azure/azure-powershell#installation"
        exit(1)
    }
    Import-Module Az.Network -MinimumVersion 4.5.0
    Import-Module Az.Resources -MinimumVersion 4.2.0
}

ValidateAzNetworkModuleExists
$policy = Get-AzFirewallPolicy -ResourceId $script:PolicyId
ValidatePolicy -Policy $policy
TransformPolicyToPremium -Policy $policy

Ejemplo de uso:

Transform-Policy -PolicyId /subscriptions/XXXXX-XXXXXX-XXXXX/resourceGroups/some-resource-group/providers/Microsoft.Network/firewallPolicies/policy-name

Paso 3: Migración de Azure Firewall mediante stop/start

Si usa la SKU estándar de Azure Firewall con la directiva de firewall, puede usar el método Allocate/Deallocate para migrar la SKU de firewall a Premium. Este enfoque de migración se admite tanto en el centro de red virtual como en los firewalls del centro de seguridad.

Migración de un firewall del centro de red virtual

Desasigne el firewall estándar:

$azfw = Get-AzFirewall -Name "<firewall-name>" -ResourceGroupName "<resource-group-name>"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

Asignar Firewall Premium (dirección IP pública única):

$azfw = Get-AzFirewall -Name "<firewall-name>" -ResourceGroupName "<resource-group-name>"
$azfw.Sku.Tier="Premium"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "<resource-group-name>" -Name "<Virtual-Network-Name>"
$publicip = Get-AzPublicIpAddress -Name "<Firewall-PublicIP-name>" -ResourceGroupName "<resource-group-name>"
$azfw.Allocate($vnet,$publicip)
Set-AzFirewall -AzureFirewall $azfw

Asignar Firewall Premium (varias direcciones IP públicas):

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Sku.Tier="Premium"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet,@($publicip1,$publicip2))
Set-AzFirewall -AzureFirewall $azfw

Asignar el firewall premium en modo de túnel forzado:

$azfw = Get-AzFirewall -Name "<firewall-name>" -ResourceGroupName "<resource-group-name>"
$azfw.Sku.Tier="Premium"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "<resource-group-name>" -Name "<Virtual-Network-Name>"
$publicip = Get-AzPublicIpAddress -Name "<Firewall-PublicIP-name>" -ResourceGroupName "<resource-group-name>"
$mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "<resource-group-name>"-Name "<Management-PublicIP-name>"
$azfw.Allocate($vnet,$publicip,$mgmtPip)
Set-AzFirewall -AzureFirewall $azfw

Migración de un firewall de centro seguro

Desasigne el firewall estándar:

$azfw = Get-AzFirewall -Name "<firewall-name>" -ResourceGroupName "<resource-group-name>"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

Asignar Firewall Premium:

$azfw = Get-AzFirewall -Name "<firewall-name>" -ResourceGroupName "<resource-group-name>"
$hub = get-azvirtualhub -ResourceGroupName "<resource-group-name>" -name "<vWANhub-name>"
$azfw.Sku.Tier="Premium"
$azfw.Allocate($hub.id)
Set-AzFirewall -AzureFirewall $azfw

Paso 4: Adjuntar política Premium

Después de actualizar el firewall a Premium, adjunte la directiva Premium mediante Azure Portal:

1. Vaya a su firewall Premium en el portal de Azure.
2. En la página Información general , seleccione Directiva de firewall.
3. Seleccione su política Premium recién creada.
4. Haga clic en Guardar.

Migración de Terraform

Si usa Terraform para implementar Azure Firewall, puede usar Terraform para migrar a Azure Firewall Premium. Para más información, consulte Migración de Azure Firewall Estándar a Premium mediante Terraform.

Solución de problemas de cambio de SKU

Problemas comunes y soluciones

• Cambio de SKU fácil no disponible: use el método de migración manual descrito en este artículo.
• Errores de migración de directivas: asegúrese de que tiene instaladas las versiones correctas del módulo de PowerShell.
• Tiempo de inactividad más largo del esperado: comprobación de la conectividad de red y la disponibilidad de los recursos
• Problemas de rendimiento después de la actualización: revise las consideraciones de rendimiento y realice pruebas exhaustivas.
• Degradación bloqueada por características Premium: quite o deshabilite las características Premium exclusivas antes de intentar la degradación.

Solución de problemas de cambio a una versión anterior

Si no puede cambiar de Premium a Estándar:

1. Compruebe si hay características Premium: compruebe que la directiva de firewall no contiene:

   • Reglas de inspección de TLS
   • IDPS en modo de alerta y denegación
   • Reglas de filtrado de direcciones URL
   • Reglas de categoría web

2. Opciones de modificación de directivas:

   • Creación de una nueva directiva estándar sin características Premium
   • Modificación de la directiva existente para quitar características Premium
   • Uso de Azure PowerShell para identificar y quitar reglas incompatibles

3. Pasos de validación:

   # Check current firewall policy for Premium features
   $policy = Get-AzFirewallPolicy -ResourceGroupName "myResourceGroup" -Name "myPolicy"
   
   # Review policy settings for Premium features
   $policy.ThreatIntelMode
   $policy.IntrusionDetection
   $policy.TransportSecurity
   

Limitaciones conocidas

• Actualmente no se admite la actualización de un firewall estándar implementado en sudeste asiático con Availability Zones para la migración manual.
• El fácil cambio de SKU no admite firewalls de SKU Básica, los usuarios con SKU Básica deben migrar primero a la SKU Estándar antes de actualizar a Premium
• Algunas configuraciones personalizadas pueden requerir el enfoque de migración manual
• La degradación falla mientras las funciones premium están activas, hasta que se eliminen.

Pasos siguientes

• Más información sobre las características de Azure Firewall Prémium
• Rendimiento de Azure Firewall
• ¿Qué es Azure Firewall?