Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Firewall do Azure Premium oferece proteção avançada contra ameaças adequada para ambientes altamente sensíveis e regulamentados, como setores de pagamento e saúde.
Este guia fornece informações detalhadas de implementação para recursos premium do Firewall do Azure. Para obter uma comparação de alto nível de todos os recursos do Firewall do Azure entre SKUs, consulte os recursos do Firewall do Azure por SKU.
As organizações podem aproveitar os recursos de SKU Premium, como inspeção de IDPS e TLS, para impedir que malwares e vírus se espalhem entre redes. Para atender ao aumento das demandas de desempenho desses recursos, o Firewall premium do Azure usa uma SKU de máquina virtual mais eficiente. Semelhante ao SKU Standard, o SKU Premium pode escalar verticalmente até 100 Gbps e integrar-se a zonas de disponibilidade para dar suporte a um SLA de 99,99%. O SKU Premium está em conformidade com os requisitos de PCI DSS (Payment Card Industry Data Security Standard).
O Firewall do Azure Premium inclui os seguintes recursos avançados:
- Inspeção do TLS: descriptografa o tráfego de saída, processa-o e, em seguida, criptografa novamente e envia-o para o destino.
- IDPS: monitora as atividades de rede para atividades mal-intencionadas, registra informações, relata e, opcionalmente, as bloqueia.
- Filtragem de URL: estende a filtragem FQDN para considerar toda a URL, incluindo qualquer caminho adicional.
- Categorias da Web: permite ou nega acesso do usuário a categorias de sites, como jogos de azar ou mídias sociais.
Para obter uma comparação completa de recursos em todas as SKUs do Firewall do Azure, consulte os recursos do Firewall do Azure por SKU.
Inspeção TLS
O protocolo TLS (Transport Layer Security) fornece criptografia para privacidade, integridade e autenticidade usando certificados entre aplicativos de comunicação. Ele criptografa o tráfego HTTP, que pode ocultar atividades ilegais do usuário e tráfego mal-intencionado.
Sem a inspeção do TLS, o Firewall do Azure não pode ver os dados dentro do túnel TLS criptografado, limitando seus recursos de proteção. No entanto, o Firewall do Azure Premium termina e inspeciona conexões TLS para detectar, alertar e atenuar atividades mal-intencionadas em HTTPS. Ele cria duas conexões TLS: uma com o servidor Web e outra com o cliente. Usando um certificado de AC fornecido pelo cliente, ele gera um certificado on-the-fly para substituir o certificado do servidor Web e compartilha-o com o cliente para estabelecer a conexão TLS.
Firewall do Azure sem inspeção do TLS:
Firewall do Azure com inspeção do TLS:
Há suporte para os seguintes casos de uso com Firewall do Azure:
- Inspeção TLS de saída: protege contra tráfego mal-intencionado enviado de um cliente interno hospedado no Azure para a Internet.
- East-West Inspeção do TLS: protege as cargas de trabalho do Azure contra possíveis tráfegos mal-intencionados enviados no Azure, incluindo o tráfego de/para uma rede local.
O seguinte caso de uso tem suporte do Firewall de Aplicativo Web do Azure no Gateway de Aplicativo do Azure:
- Inspeção TLS de entrada: protege servidores internos ou aplicativos hospedados no Azure contra solicitações mal-intencionadas que chegam da Internet ou de uma rede externa. Gateway de Aplicativo fornece criptografia de ponta a ponta.
Para obter informações relacionadas. consulte:
Dica
O TLS 1.0 e 1.1 estão sendo preteridos e não terão suporte. Essas versões foram consideradas vulneráveis. Embora ainda funcionem para compatibilidade com versões anteriores, eles não são recomendados. Migre para TLS 1.2 assim que possível.
Para saber mais sobre os requisitos de certificado de autoridade de certificação intermediária do Firewall do Azure Premium, consulte Certificados do Firewall do Azure Premium.
Para saber mais sobre a inspeção de TLS, veja Construindo um POC para inspeção de TLS no Firewall do Azure.
IDPS
Um IDPS (sistema de detecção e prevenção de intrusões de rede) monitora sua rede para atividades mal-intencionadas, registra informações, relata e, opcionalmente, a bloqueia.
O Firewall do Azure Premium oferece IDPS baseado em assinatura para detectar rapidamente ataques identificando padrões específicos, como sequências de bytes no tráfego de rede ou sequências de instruções mal-intencionadas conhecidas usadas por malware. Essas assinaturas IDPS se aplicam ao tráfego no nível do aplicativo e da rede (Camadas 3-7). Eles são totalmente gerenciados e atualizados continuamente. O IDPS pode ser aplicado a entrada, spoke-to-spoke (East-West) e tráfego de saída, incluindo tráfego de/para uma rede local. Você pode configurar os intervalos de endereços IP privados do IDPS usando o recurso de intervalos de IP privados. Para obter mais informações, consulte Intervalos de IP privados do IDPS.
As assinaturas e os conjuntos de regras do Firewall do Azure incluem:
- Concentre-se na identificação de malware, comando e controle reais, kits de exploração e atividades mal-intencionadas perdidas pelos métodos tradicionais.
- Mais de 67.000 regras em mais de 50 categorias, incluindo comando e controle de malware, phishing, trojans, botnets, eventos informativos, explorações, vulnerabilidades, protocolos de rede SCADA e atividade de kit de exploração.
- Mais de 20 a 40 novas regras lançadas diariamente.
- Baixa taxa de falsos positivos usando técnicas avançadas de detecção de malware, como loop de comentários de rede de sensor global.
O IDPS detecta ataques em todas as portas e protocolos para tráfego não criptografado. Para inspeção de tráfego HTTPS, o Firewall do Azure pode usar sua capacidade de inspeção do TLS para descriptografar o tráfego e detectar melhor atividades mal-intencionadas.
Observação
Para obter diretrizes sobre como substituir modos de assinatura e limitações importantes para evitar quedas silenciosas, consulte Substituir o comportamento e as limitações.
A Lista de Bypass do IDPS permite que você exclua endereços IP, intervalos e sub-redes específicos da filtragem. Observe que a lista de bypass não se destina a melhorar o desempenho da taxa de transferência, pois o desempenho do firewall ainda está sujeito ao seu caso de uso. Para obter mais informações, consulte Desempenho do Firewall do Azure.
Intervalos de IP privado do IDPS
No IDPS Premium do Firewall do Azure, os intervalos de endereços IP privados são usados para determinar se o tráfego é de entrada, saída ou interno (East-West). Cada assinatura é aplicada a direções de tráfego específicas, conforme indicado na tabela de regras de assinatura. Por padrão, apenas os intervalos definidos pela IANA RFC 1918 são considerados endereços IP privados. O tráfego entre intervalos de endereços IP privados é considerado interno. Você pode editar, remover ou adicionar intervalos de endereços IP privados facilmente conforme necessário.
Regras de assinatura IDPS
As regras de assinatura IDPS permitem que você:
- Personalize assinaturas alterando seu modo para Desabilitado, Alerta ou Alerta e Negar. Você pode personalizar até 10.000 regras IDPS.
- Por exemplo, se uma solicitação legítima for bloqueada devido a uma assinatura com falha, você poderá desabilitar essa assinatura usando sua ID dos logs de regras de rede para resolver o problema de falso positivo.
- Ajuste assinaturas que geram alertas de baixa prioridade excessivos para melhorar a visibilidade de alertas de alta prioridade.
- Exiba todas as mais de 67.000 assinaturas.
- Use a pesquisa inteligente para localizar assinaturas por atributos, como CVE-ID.
As regras de assinatura IDPS têm as seguintes propriedades:
| Coluna | Descrição |
|---|---|
| ID da Assinatura | ID interna para cada assinatura, também mostrada nos logs de Regras de Rede do Firewall do Azure. |
| Mode | Indica se a assinatura está ativa e se o firewall descarta ou alertas no tráfego correspondente. Modos: - Desabilitado: a assinatura não está habilitada. - Alerta: alertas sobre tráfego suspeito. - Alerta e negação: alerta e bloqueia o tráfego suspeito. Algumas assinaturas são "Somente Alerta" por padrão, mas podem ser personalizadas para "Alerta e Negação". O modo de assinatura é determinado por: 1. Modo de política – derivado do modo IDPS da política. 2. Política pai – derivada do modo IDPS da política pai. 3. Substituído – Personalizado pelo usuário. 4. Sistema – Definido como "Somente Alerta" pelo sistema devido à sua categoria, mas pode ser substituído. Os alertas IDPS estão disponíveis no portal por meio da consulta de log de regras de rede. |
| Severidade | Indica a probabilidade de que a assinatura seja um ataque real: - Baixa (prioridade 3): baixa probabilidade, eventos informativos. - Médio (prioridade 2): suspeito, requer investigação. - Alta (prioridade 1): ataque severo, alta probabilidade. |
| Direção | Direção do tráfego para a qual a assinatura é aplicada: - Entrada: da Internet para o intervalo de IP privado. - Saída: do intervalo de IP privado para a Internet. - Interno: dentro do intervalo de IP privado. - Interno/Entrada: do seu intervalo de IP privado ou da Internet ao seu intervalo de IP privado. - Interno/Saída: do intervalo de IP privado ao seu intervalo de IP privado ou à Internet. - Qualquer: aplicado a qualquer direção de tráfego. |
| Grupo | O nome do grupo ao qual a assinatura pertence. |
| Descrição | Inclui: - Nome da categoria: a categoria da assinatura. - Descrição de alto nível. - CVE-ID (opcional): CVE associada. |
| Protocolo | O protocolo associado à assinatura. |
| Portas de origem/destino | As portas associadas à assinatura. |
| Última atualização | A data em que a assinatura foi introduzida ou modificada pela última vez. |
Para obter mais informações sobre o IDPS, consulte Levando o IDPS do Firewall do Azure para um test drive.
Filtragem de URL
A filtragem de URL estende a capacidade de filtragem do FQDN do Firewall do Azure para considerar toda a URL, como www.contoso.com/a/c em vez de apenas www.contoso.com.
A filtragem de URL pode ser aplicada ao tráfego HTTP e HTTPS. Ao inspecionar o tráfego HTTPS, o Firewall premium do Azure usa seu recurso de inspeção do TLS para descriptografar o tráfego, extrair a URL de destino e validar se o acesso é permitido. A inspeção do TLS deve ser habilitada no nível da regra do aplicativo. Depois de habilitadas, as URLs podem ser usadas para filtrar o tráfego HTTPS.
Categorias da Web
As categorias da Web permitem que os administradores permitam ou neguem o acesso do usuário a categorias específicas de sites, como jogos de azar ou mídias sociais. Embora esse recurso esteja disponível tanto no Firewall do Azure Standard quanto no Premium, o SKU Premium oferece um controle mais granular combinando categorias com base em toda a URL para tráfego HTTP e HTTPS.
As categorias do Firewall do Azure Web Premium só estão disponíveis em políticas de firewall. Verifique se o SKU da política corresponde ao SKU da instância de firewall. Por exemplo, uma instância do Firewall Premium requer uma política de Firewall Premium.
Por exemplo, se o Firewall do Azure interceptar uma solicitação HTTPS para www.google.com/news:
- O Firewall Standard examina apenas o FQDN, categorizando
www.google.comcomo Mecanismo de Pesquisa. - O Firewall Premium examina a URL completa, categorizando
www.google.com/newscomo Notícias.
As categorias são organizadas por gravidade em Responsabilidade, Alta Largura de Banda, Uso de Negócios, Perda de Produtividade, Surf Geral e Não Categorizada. Para obter descrições detalhadas, consulte as categorias da Web do Firewall do Azure.
Registro em log das categorias da Web
O tráfego filtrado por categorias da Web é registrado nos logs do aplicativo. O campo Categorias da Web será exibido somente se explicitamente configurado em suas regras de aplicativo de política de firewall. Por exemplo, se nenhuma regra negar explicitamente mecanismos de pesquisa e solicitações www.bing.comde usuário, apenas uma mensagem de negação padrão será exibida.
Exceções de categoria
Você pode criar exceções às regras de categoria da Web configurando coleções de regras de permissão ou negação separadas com prioridade mais alta. Por exemplo, permita www.linkedin.com com prioridade 100 e negue redes sociais com prioridade 200 para criar uma exceção para a categoria redes sociais .
Pesquisa de categoria da Web
Identifique a categoria de um FQDN ou URL usando o recurso de Verificação de Categoria da Web nas Configurações de Política de Firewall. Isso ajuda a definir regras de aplicativo para o tráfego de destino.
Importante
Para usar o recurso Verificação de Categoria da Web , o usuário deve ter acesso Microsoft.Network/azureWebCategories/* no nível da assinatura.
Alteração de categoria
Na guia Categorias da Web nas Configurações de Política de Firewall, você poderá solicitar uma alteração de categoria se acreditar que um FQDN ou URL deve estar em uma categoria diferente ou ter uma sugestão para um FQDN ou URL não categorizado. Depois de enviar um relatório de alteração de categoria, você recebe um token para acompanhar o status da solicitação.
Categorias da Web que não dão suporte à terminação TLS
Determinado tráfego da Web, como dados de integridade do funcionário, não pode ser descriptografado usando a terminação TLS devido a motivos de privacidade e conformidade. As seguintes categorias da Web não dão suporte à terminação TLS:
- Educação
- Finance
- Governo
- Saúde e medicina
Para dar suporte à terminação TLS para URLs específicas, adicione-as manualmente às regras do aplicativo. Por exemplo, adicione www.princeton.edu para permitir este site.
Regiões com suporte
Para obter uma lista de regiões em que o Firewall do Azure está disponível, consulte os produtos do Azure disponíveis por região.