Usar o Azure Policy para ajudar a proteger suas implantações do Firewall do Azure

O Azure Policy é um serviço no Azure que lhe permite criar, atribuir e gerenciar políticas. Essas políticas impõem diferentes regras e efeitos sobre os recursos para que esses recursos permaneçam em conformidade com seus padrões corporativos e contratos de nível de serviço. O Azure Policy faz isso avaliando seus recursos quanto à não conformidade com as políticas atribuídas. Por exemplo, você pode ter uma política para permitir apenas um determinado tamanho de máquinas virtuais no seu ambiente ou implementar uma tag específica nos recursos.

O Azure Policy pode ser usado para reger as configurações do Firewall do Azure aplicando políticas que definem quais configurações são ou não permitidas. Isso ajuda a garantir que as configurações de firewall se mantenham consistentes com os requisitos de conformidade da organização e as boas práticas de segurança.

Pré-requisitos

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Políticas disponíveis para o Firewall do Azure

As seguintes políticas estão disponíveis para o Firewall do Azure:

• Habilitar a Inteligência contra Ameaças na Política do Firewall do Azure

  Essa política garante que qualquer configuração do Firewall do Azure sem a Inteligência contra Ameaças habilitada esteja marcada como incompatível.

• Implantar o Firewall do Azure em Várias Zonas de Disponibilidade

  A política restringe a implantação do Firewall do Azure, que passa a ser permitido apenas com a configuração Várias Zonas de Disponibilidade.

• Fazer o upgrade do Firewall do Azure, de Standard para Premium

  Essa política recomenda fazer o upgrade do Firewall do Azure, de Standard para Premium, para que todos os recursos de firewall avançado da versão Premium possam ser usados. Isso aumenta ainda mais a segurança da rede.

• A Análise da Política do Firewall do Azure deve ser habilitada

  Essa política garante que a Análise da Política seja habilitada no firewall para ajustar e otimizar as regras do firewall com eficácia.

• O Firewall do Azure só deve permitir Tráfego Criptografado

  Essa política analisa as regras e portas existentes na política de firewall do Azure e audita a política de firewall para garantir que somente tráfego criptografado seja permitido no ambiente.

• O Proxy de DNS do Firewall do Azure deve ser habilitado

  Essa Política garante que o recurso de proxy de DNS seja habilitado nas implantações do Firewall do Azure.

• Habilitar o IDPS na Política Premium do Firewall do Azure

  Essa política garante que o recurso IDPS seja habilitado em implantações do Firewall do Azure para proteger o ambiente com eficácia contra várias ameaças e vulnerabilidades.

• Habilitar a inspeção TLS na Política de Firewall do Azure

  Essa política determina que a inspeção TLS seja habilitada para detectar, alertar e mitigar atividades mal-intencionadas no tráfego HTTPS.

• Impor configuração de proxy explícita para políticas de firewall

  Essa política garante que todas as políticas de Firewall do Azure tenham a configuração de proxy explícita habilitada. Ele verifica a presença do explicitProxy.enableExplicitProxy campo e sinaliza os recursos como não compatíveis se essa configuração está ausente. Isso ajuda a manter configurações de proxy consistentes em todas as implantações de firewall. Para obter a definição de política completa, consulte Impor configuração de proxy explícita para políticas de firewall.

• Habilitar a configuração de arquivo PAC ao usar o Proxy Explícito no Firewall do Azure

  Essa política audita as políticas do Firewall do Azure para garantir que, quando o proxy explícito estiver habilitado, o arquivo PAC (Configuração Automática de Proxy) também esteja configurado corretamente. Ele valida que, se explicitProxy.enableExplicitProxy for verdadeiro, então explicitProxy.enablePacFile também deve ser habilitado para fornecer recursos adequados de configuração automática de proxy. Para obter a definição de política completa, consulte Habilitar a configuração de arquivo PAC ao usar o Proxy Explícito no Firewall do Azure.

• Migrar das Regras Clássicas do Firewall do Azure para a Política do Firewall

  Essa política recomenda a migração das Regras Clássicas do Firewall para a Política do Firewall.

• VNETs com uma tag específica precisam ter o Firewall do Azure implantado

  Essa política localiza todas as redes virtuais com uma tag especificada e verifica se há um Firewall do Azure implantado, além de sinalizá-las como fora de conformidade se não existir nenhum Firewall do Azure.

As etapas a seguir mostram como você pode criar um Azure Policy que faça com que todas as Políticas de Firewall tenham o recurso de Inteligência contra Ameaças habilitado (Somente Alertar ou Alertar e Negar). O escopo do Azure Policy é definido como o grupo de recursos que você criar.

Criar um grupo de recursos

Esse grupo de recursos é definido como o escopo do Azure Policy e é onde você cria a Política do Firewall.

1. No portal do Azure, selecione Criar um recurso.
2. Na caixa de pesquisa, digite grupo de recursos e pressione Enter.
3. Selecione o Grupo de recursos nos resultados da pesquisa.
4. Selecione Criar.
5. Selecione sua assinatura.
6. Insira um nome para o seu grupo de recursos.
7. Selecione uma região.
8. Selecione Avançar: Marcas.
9. Selecione Avançar: Examinar + criar.
10. Selecione Criar.

Criar uma política do Azure

Agora, crie um Azure Policy no seu novo grupo de recursos. Essa política garante que todas as políticas de firewall sejam obrigadas a ter a Inteligência contra Ameaças habilitada.

1. No portal do Azure, clique em Todos os serviços.
2. Na caixa do filtro, digite política e pressione Enter.
3. Selecione Política nos resultados da pesquisa.
4. Na página Política, selecione Como começar.
5. Em Atribuir políticas, selecione Ver definições.
6. Na página Definições, digite firewall na caixa de pesquisa.
7. Selecione A Política de Firewall do Azure deve habilitar a Inteligência contra Ameaças.
8. Selecione Atribuir política.
9. Para Escopo, selecione sua assinatura e seu novo grupo de recursos.
10. Escolha Selecionar.
11. Selecione Avançar.
12. Na página Parâmetros, desmarque a caixa de seleção Mostrar somente os parâmetros que precisam de informações ou revisão.
13. Em Efeito, selecione Negar.
14. Selecione Examinar + criar.
15. Selecione Criar.

Criar uma política de firewall

Agora você vai tentar criar uma Política de Firewall com a Inteligência contra Ameaças desabilitada.

1. No portal do Azure, selecione Criar um recurso.
2. Na caixa de pesquisa, digite política de firewall e pressione Enter.
3. Selecione Política de Firewall nos resultados da pesquisa.
4. Selecione Criar.
5. Selecione sua assinatura.
6. Em Grupo de recursos, selecione o grupo de recursos que você criou anteriormente.
7. Na caixa de texto Nome, digite um nome para a sua política.
8. Selecione Próximo: Configurações de DNS.
9. Continue selecionando ao longo da página Inteligência contra Ameaças.
10. Para o Modo Inteligência contra Ameaças, selecione Desabilitado.
11. Selecione Examinar + criar.

Você deverá ver um erro informando que a permissão do seu recurso foi cancelada pela política, confirmando que seu Azure Policy não permite políticas de firewall com a Inteligência contra Ameaças desabilitada.

Definições adicionais do Azure Policy

Para obter mais definições do Azure Policy especificamente projetadas para o Firewall do Azure, incluindo políticas para configuração de proxy explícita, consulte o repositório GitHub de Segurança de Rede do Azure. Esse repositório contém definições de política de contribuição da comunidade que você pode implantar em seu ambiente.

Conteúdo relacionado

• O que é o Azure Policy?
• Controle sua configuração do Firewall do Azure com as Politicas do Azure
• Proxy explícito do Firewall do Azure (versão prévia)