Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Firewall do Azure é um serviço de segurança de rede gerenciado baseado em nuvem que protege os recursos da Rede Virtual do Azure. É um serviço de firewall totalmente com estado que inclui alta disponibilidade interna e escalabilidade de nuvem irrestrita.
Quando você usa o Azure, a confiabilidade é uma responsabilidade compartilhada. A Microsoft fornece uma variedade de recursos para dar suporte à resiliência e recuperação. Você é responsável por entender como esses recursos funcionam em todos os serviços que você usa e selecionar os recursos necessários para atender aos seus objetivos de negócios e metas de tempo de atividade.
Este artigo descreve como tornar o Firewall do Azure resiliente a uma variedade de possíveis interrupções e problemas, incluindo falhas transitórias, interrupções de zona de disponibilidade e interrupções de região. Ele também descreve a resiliência durante a manutenção do serviço e realça algumas informações importantes sobre o SLA (contrato de nível de serviço) do Firewall.
Recomendações de implantação de produção
Para saber mais sobre como implantar o Firewall do Azure para dar suporte aos requisitos de confiabilidade da solução e como a confiabilidade afeta outros aspectos da sua arquitetura, consulte as Práticas recomendadas de arquitetura para o Firewall do Azure no Azure Well-Architected Framework.
Visão geral da arquitetura de confiabilidade
Uma instância refere-se a uma unidade de nível de máquina virtual (VM) do firewall. Cada instância representa a infraestrutura que manipula o tráfego e executa verificações de firewall.
Para obter alta disponibilidade de um firewall, o Firewall do Azure fornece automaticamente pelo menos duas instâncias, sem a necessidade de intervenção ou configuração. O firewall é escalado horizontalmente de forma automática quando a taxa de transferência média, o consumo de CPU e o uso da conexão atingem limites predefinidos. Para obter mais informações, consulte Desempenho do Firewall do Azure. A plataforma gerencia automaticamente a criação da instância, o monitoramento de integridade e a substituição de instâncias não íntegras.
Para ter proteção contra falhas de servidor e de rack de servidor, o Firewall do Azure distribui automaticamente instâncias entre vários domínios com falha em uma região.
O diagrama a seguir mostra um firewall com duas instâncias:
Para aumentar a redundância e a disponibilidade durante falhas de datacenter, você pode habilitar a redundância de zona para distribuir instâncias em várias zonas de disponibilidade.
Resiliência a falhas transitórias
Falhas transitórias são falhas curtas e intermitentes nos componentes. Elas ocorrem com frequência em um ambiente distribuído, como a nuvem, e são uma parte normal das operações. Falhas transitórias se corrigem após um curto período de tempo. É importante que seus aplicativos possam lidar com falhas transitórias, geralmente repetindo solicitações afetadas.
Todos os aplicativos hospedados na nuvem devem seguir as diretrizes transitórias de tratamento de falhas do Azure quando eles se comunicam com qualquer APIs, bancos de dados e outros componentes hospedados na nuvem. Para obter mais informações, confira Recomendações para tratamento de falhas transitórias.
Para aplicativos que se conectam por meio do Firewall do Azure, implemente a lógica de repetição com retirada exponencial para lidar com possíveis problemas transitórios de conexão. A natureza com estado do Firewall do Azure garante que as conexões legítimas sejam mantidas durante breves interrupções de rede.
Durante as operações de dimensionamento, que levam de 5 a 7 minutos para serem concluídas, as conexões existentes são preservadas enquanto novas instâncias de firewall são adicionadas para lidar com o aumento da carga.
Resiliência a falhas de zona de disponibilidade
As zonas de disponibilidade são grupos fisicamente separados de datacenters em uma região do Azure. Quando uma zona falha, os serviços podem fazer o failover de uma das zonas restantes.
O Firewall do Azure é implantado automaticamente entre zonas de disponibilidade em regiões com suporte quando criado por meio do portal do Azure. Para opções avançadas de configuração de zona, você deve usar o Azure PowerShell, a CLI do Azure, o Bicep ou os modelos do ARM (Azure Resource Manager).
O Firewall do Azure dá suporte a modelos de implantação zonal e com redundância de zona:
Com redundância de zona: quando habilitado para redundância de zona, o Azure distribui instâncias de firewall em várias zonas de disponibilidade na região. O Azure gerencia o balanceamento de carga e o failover entre zonas automaticamente.
Os firewalls com redundância de zona atingem o SLA (contrato de nível de serviço) de tempo de atividade mais alto. Eles são recomendados para cargas de trabalho de produção que exigem disponibilidade máxima.
O diagrama a seguir mostra um firewall com redundância de zona com três instâncias distribuídas em três zonas de disponibilidade:
Observação
Se você criar seu firewall usando o portal do Azure, a redundância de zona será habilitada automaticamente.
Zonal: se sua solução for extraordinariamente sensível à latência entre zonas, você poderá associar o Firewall do Azure a uma zona de disponibilidade específica. Você pode usar uma implantação zonal para implantar mais perto de seus servidores de back-end. Todas as instâncias de um firewall zonal são implantadas nessa zona.
O diagrama a seguir mostra um firewall zonal com três instâncias implantadas na mesma zona de disponibilidade:
Importante
Recomendamos fixar em uma única zona de disponibilidade somente quando a latência entre zonas exceder os limites aceitáveis e você confirmar que a latência não atende aos seus requisitos. Um firewall zonal sozinho não fornece resiliência a uma interrupção de zona de disponibilidade. Para melhorar a resiliência de uma implantação de Firewall do Azure zonal, você precisa implantar manualmente firewalls separados em várias zonas de disponibilidade e configurar o failover e o roteamento de tráfego.
Se você não configurar um firewall para ser com redundância de zona ou zonal, ele será considerado não zonal ou regional. Firewalls não zonais podem ser colocados em qualquer zona de disponibilidade dentro da região. Se qualquer zona de disponibilidade na região enfrentar uma interrupção, os firewalls não zonais poderão estar na zona afetada e apresentar tempo de inatividade.
Suporte de regiões
O Firewall do Azure dá suporte a zonas de disponibilidade em todas as regiões que dão suporte a zonas de disponibilidade, em que o serviço de Firewall do Azure está disponível.
Requirements
- Todas as camadas do Firewall do Azure dão suporte a zonas de disponibilidade.
- Para firewalls com redundância de zona, você deve usar endereços IP públicos padrão e configurá-los para serem com redundância de zona.
- Para firewalls zonais, você deve usar endereços IP públicos padrão e configurá-los para serem com redundância de zona ou zonal na mesma zona que o firewall.
Custo
Não há custo adicional para um firewall implantado em mais de uma zona de disponibilidade.
Configurar o suporte à zona de disponibilidade
Essa seção explica como configurar o suporte à zona de disponibilidade para seus firewalls.
Crie um firewall com suporte à zona de disponibilidade: a abordagem que você usa para configurar zonas de disponibilidade depende se você deseja criar um firewall zonal ou com redundância de zona e das ferramentas que você usa.
Importante
A redundância de zona é habilitada automaticamente quando você implanta por meio do portal do Azure. Para configurar zonas específicas, você deve usar outra ferramenta, como a CLI do Azure, o Azure PowerShell, o Bicep ou os modelos do ARM.
Com redundância de zona: quando você implanta um novo firewall usando o portal do Azure, o firewall é com redundância de zona por padrão. Para saber mais sobre isso, confira Implantar o Firewall do Azure usando o portal do Azure.
Ao usar a CLI do Azure, o Azure PowerShell, o Bicep, os modelos do ARM ou o Terraform, você pode, opcionalmente, especificar as zonas de disponibilidade para implantação. Para implantar um firewall com redundância de zona, especifique duas ou mais zonas. Recomendamos que você selecione todas as zonas para que o firewall possa usar todas as zonas de disponibilidade, a menos que você tenha um motivo específico para excluir uma zona.
Para obter mais informações sobre como implantar um Firewall ZR, consulte Implantar um Firewall do Azure com zonas de disponibilidade.
Observação
Quando você seleciona quais zonas de disponibilidade usar, na verdade está selecionando a zona de disponibilidade lógica. Se você implantar outros componentes de carga de trabalho em uma assinatura diferente do Azure, eles podem usar um número de zona de disponibilidade lógica diferente para acessar a mesma zona de disponibilidade física. Para obter mais informações, confira Zonas de disponibilidade físicas e lógicas.
Habilite o suporte à zona de disponibilidade em um firewall existente: você pode habilitar zonas de disponibilidade em um firewall existente se ele atender a critérios específicos. O processo exige que você interrompa (desaloque) o firewall e reconfigure-o. Espere algum tempo de inatividade. Para obter mais informações, consulte Configurar zonas de disponibilidade após a implantação.
Altere a configuração da zona de disponibilidade de um firewall existente: para alterar a configuração da zona de disponibilidade, primeiro você precisa interromper (desalocar) o firewall, um processo que envolve algum tempo de inatividade. Para obter mais informações, consulte Configurar zonas de disponibilidade após a implantação.
Desabilitar o suporte à zona de disponibilidade: você pode alterar as zonas de disponibilidade que um firewall usa, mas não é possível converter um firewall zonal ou com redundância de zona em uma configuração não zonal.
Comportamento quando todas as zonas estão saudáveis
Essa seção descreve o que esperar quando o Firewall do Azure é configurado com suporte à zona de disponibilidade e todas as zonas de disponibilidade estão operacionais.
Roteamento de tráfego entre zonas: o comportamento de roteamento de tráfego depende da configuração da zona de disponibilidade usada pelo firewall.
Com redundância de zona: o Firewall do Azure distribui automaticamente solicitações de entrada entre instâncias em todas as zonas que o firewall usa. Essa configuração ativa-ativa garante o desempenho ideal e a distribuição de carga em condições operacionais normais.
Zonal: se você implantar várias instâncias zonais em zonas diferentes, deverá configurar o roteamento de tráfego usando soluções de balanceamento de carga externas, como o Azure Load Balancer ou o Gerenciador de Tráfego do Azure.
Gerenciamento de instância: a plataforma gerencia automaticamente o posicionamento da instância entre as zonas usadas pelo firewall, substituindo instâncias com falha e mantendo a contagem de instâncias configurada. O monitoramento de integridade garante que apenas instâncias íntegras recebam tráfego.
Replicação de dados entre zonas: o Firewall do Azure não precisa sincronizar o estado da conexão entre zonas de disponibilidade. A instância que processa a solicitação mantém o estado de cada conexão.
Comportamento durante uma falha de zona
Esta seção descreve o que esperar quando o Firewall do Azure está configurado com suporte à zona de disponibilidade e uma ou mais zonas de disponibilidade estão indisponíveis.
Detecção e resposta: a responsabilidade pela detecção e resposta depende da configuração da zona de disponibilidade que seu firewall usa.
Com redundância de zona: para instâncias configuradas para usar a redundância de zona, a plataforma Firewall do Azure detecta e responde a uma falha em uma zona de disponibilidade. Você não precisa iniciar um failover de zona.
Zonal: para firewalls configurados como zonais, você precisa detectar a perda de uma zona de disponibilidade e iniciar um failover para um firewall secundário criado em outra zona de disponibilidade.
- Notificação: a Microsoft não notifica você automaticamente quando uma zona está inativa. No entanto, você pode usar a Integridade do Serviço do Azure para entender a integridade geral do serviço, incluindo quaisquer falhas de zona, e pode configurar alertas de Integridade do Serviço para notificá-lo de problemas.
Conexões ativas: quando uma zona de disponibilidade está indisponível, as solicitações em andamento conectadas a uma instância de firewall na zona de disponibilidade com falha podem terminar e exigir novas tentativas.
Perda de dados esperada: nenhuma perda de dados é esperada durante o failover de zona porque o Firewall do Azure não armazena dados persistentes do cliente.
Tempo de inatividade esperado: o tempo de inatividade depende da configuração da zona de disponibilidade que seu firewall usa.
Com redundância de zona: espere um tempo de inatividade mínimo (normalmente alguns segundos) durante uma interrupção da zona de disponibilidade. Aplicativos cliente deve seguir práticas para tratamento de falha transitória, incluindo a implementação de políticas de novas tentativas com retirada exponencial.
Zonal: quando uma zona está indisponível, o firewall permanece indisponível até que a zona de disponibilidade se recupere.
Redirecionamento de tráfego: o comportamento de redirecionamento de tráfego depende da configuração da zona de disponibilidade usada pelo seu firewall.
Com redundância de zona: o tráfego redireciona automaticamente para zonas de disponibilidade íntegras. Se necessário, a plataforma cria novas instâncias de firewall em zonas íntegras.
Zonal: quando uma zona está indisponível, o firewall zonal também fica indisponível. Se você tiver um firewall secundário em outra zona de disponibilidade, você será responsável por redirecionar o tráfego para esse firewall.
Failback
O comportamento de failback depende da configuração da zona de disponibilidade que seu firewall usa.
Com redundância de zona: após a recuperação da zona de disponibilidade, o Firewall do Azure redistribui automaticamente instâncias em todas as zonas que o firewall usa e restaura o balanceamento de carga normal entre zonas.
Zonal: depois que a zona de disponibilidade for recuperada, você será responsável por redirecionar o tráfego para o firewall na zona de disponibilidade original.
Testar falhas em zonas
As opções de teste de falha de zona dependem da configuração da zona de disponibilidade do firewall.
Com redundância de zona: a plataforma Firewall do Azure gerencia o roteamento de tráfego, o failover e o failback para recursos de firewall com redundância de zona. Esse recurso é totalmente gerenciado, então você não precisa iniciar ou validar processos de falha de zona de disponibilidade.
Zonal: você pode simular aspectos da falha de uma zona de disponibilidade interrompendo um firewall. Use essa abordagem para testar como outros sistemas e balanceadores de carga lidam com uma interrupção no firewall. Para obter mais informações, confira Interromper e iniciar o Firewall do Azure.
Resiliência a falhas em toda a região
O Firewall do Azure é um serviço de região única. Se a região não estiver disponível, o recurso firewall também não estará disponível.
Soluções personalizadas de várias regiões para resiliência
Para implementar uma arquitetura de várias regiões, use firewalls separados. Essa abordagem exige que você implante um firewall independente em cada região, roteie o tráfego para o firewall regional apropriado e implemente a lógica de failover personalizada. Considere os seguintes pontos:
Use o Gerenciador de Firewall do Azure para o gerenciamento centralizado de políticas em vários firewalls. Use o método Política de firewall para o gerenciamento de regras centralizado em várias instâncias de firewall.
Implemente o roteamento de tráfego usando o Gerenciador de Tráfego ou o Azure Front Door.
Para obter uma arquitetura de exemplo que ilustra arquiteturas de segurança de rede de várias regiões, consulte Balanceamento de carga de várias regiões usando o Gerenciador de Tráfego, o Firewall do Azure e o Gateway de Aplicativo.
Resiliência à manutenção do serviço
O Firewall do Azure realiza atualizações regulares de serviço e outras formas de manutenção.
Você pode configurar janelas de manutenção diárias para alinhar agendas de atualização com suas necessidades operacionais. Para obter mais informações, consulte Configurar a manutenção controlada pelo cliente para o Firewall do Azure.
Contrato de nível de serviço
O acordo de nível de serviço (SLA) dos serviços do Azure descreve a disponibilidade esperada de cada serviço e as condições que sua solução deve atender para alcançar essa expectativa de disponibilidade. Para obter mais informações, consulte SLAs para serviços online.
O Firewall do Azure fornece um SLA de maior disponibilidade para firewalls implantados em duas ou mais zonas de disponibilidade.