Usar a Política do Azure para ajudar a proteger suas implantações do Firewall do Azure

A Política do Azure é um serviço no Azure que permite criar, atribuir e gerir políticas. Estas políticas impõem diferentes regras e efeitos aos recursos, de forma a que esses recursos se mantenham em conformidade com as normas empresariais e os contratos de nível de serviço. O Azure Policy faz isso avaliando seus recursos em busca de não conformidade com as políticas atribuídas. Por exemplo, você pode ter uma política para permitir apenas um determinado tamanho de máquinas virtuais em seu ambiente ou para impor uma marca específica em recursos.

A Política do Azure pode ser usada para governar as configurações do Firewall do Azure aplicando políticas que definem quais configurações são permitidas ou não permitidas. Isso ajuda a garantir que as configurações de firewall sejam consistentes com os requisitos de conformidade organizacional e as práticas recomendadas de segurança.

Pré-requisitos

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Políticas disponíveis para o Firewall do Azure

As seguintes políticas estão disponíveis para o Firewall do Azure:

• Habilitar o Threat Intelligence na Política de Firewall do Azure

  Esta política garante que qualquer configuração do Firewall do Azure sem inteligência de ameaça ativada seja marcada como não conforme.

• Implantar o Firewall do Azure em várias zonas de disponibilidade

  A política restringe a implantação do Firewall do Azure a ser permitida apenas com a configuração de Zona de Disponibilidade Múltipla.

• Atualizar o Firewall do Azure Standard para Premium

  Esta política recomenda atualizar o Firewall do Azure Standard para Premium para que todos os recursos avançados de firewall da versão Premium possam ser usados. Isso aumenta ainda mais a segurança da rede.

• A Análise de Política de Firewall do Azure deve ser habilitada

  Esta política garante que a Análise de Políticas esteja ativada na firewall para ajustar e otimizar eficazmente as regras de firewall.

• O Firewall do Azure deve permitir apenas o tráfego criptografado

  Esta política analisa as regras e portas existentes na política de firewall do Azure e audita a política de firewall para garantir que apenas o tráfego criptografado seja permitido no ambiente.

• O Firewall do Azure deve ter o Proxy DNS habilitado

  Esta Política garante que o recurso de proxy DNS esteja habilitado em implantações do Firewall do Azure.

• Habilitar IDPS na Política Premium do Firewall do Azure

  Essa política garante que o recurso IDPS esteja habilitado em implantações do Firewall do Azure para proteger efetivamente o ambiente contra várias ameaças e vulnerabilidades.

• Habilitar a inspeção TLS na Política de Firewall do Azure

  Esta política exige que a inspeção TLS esteja habilitada para detetar, alertar e mitigar atividades maliciosas no tráfego HTTPS.

• Impor configuração de proxy explícita para políticas de firewall

  Essa política garante que todas as políticas do Firewall do Azure tenham a configuração de proxy explícito habilitada. Ele verifica a explicitProxy.enableExplicitProxy presença do campo e sinaliza recursos como não compatíveis se essa configuração estiver ausente. Isso ajuda a manter configurações de proxy consistentes em todas as implantações de firewall. Para obter a definição completa da política, consulte Impor Configuração de Proxy Explícito para Políticas de Firewall.

• Habilitar a configuração do arquivo PAC ao usar o Proxy Explícito no Firewall do Azure

  Esta política audita as políticas do Firewall do Azure para garantir que, quando o proxy explícito está habilitado, o arquivo PAC (Configuração Automática de Proxy) também está configurado corretamente. Ele valida que, se explicitProxy.enableExplicitProxy for verdadeiro, também explicitProxy.enablePacFile deve ser habilitado para fornecer recursos adequados de configuração automática de proxy. Para obter a definição completa da política, consulte Habilitar a configuração do arquivo PAC ao usar o Proxy Explícito no Firewall do Azure.

• Migrar das Regras Clássicas do Firewall do Azure para a Política de Firewall

  Esta política recomenda a migração das Regras Clássicas do Firewall para a Política de Firewall.

• VNET com tag específica deve ter o Firewall do Azure implantado

  Esta política localiza todas as redes virtuais com uma marca especificada e verifica se há um Firewall do Azure implantado e sinaliza-o como não compatível se não existir um Firewall do Azure.

As etapas a seguir mostram como você pode criar uma Política do Azure que impõe todas as Políticas de Firewall para que o recurso Threat Intelligence esteja habilitado (Somente Alerta ou Alertar e negar). O escopo da Política do Azure é definido para o grupo de recursos que você cria.

Criar um grupo de recursos

Esse grupo de recursos é definido como o escopo da Política do Azure e é onde você cria a Política de Firewall.

1. No portal do Azure, selecione Criar um recurso.
2. Na caixa de pesquisa, digite grupo de recursos e pressione Enter.
3. Selecione Grupo de recursos nos resultados da pesquisa.
4. Selecione Criar.
5. Selecione a sua subscrição.
6. Digite um nome para o grupo de recursos.
7. Selecione uma região.
8. Selecione Next : Tags.
9. Selecione Próximo : Revisar + criar.
10. Selecione Criar.

Criar uma Política do Azure

Agora, crie uma Política do Azure em seu novo grupo de recursos. Esta política garante que todas as políticas de firewall devem ter o Threat Intelligence ativado.

1. No portal do Azure, selecione Todos os serviços.
2. Na caixa de filtro, digite policy e pressione Enter.
3. Selecione Política nos resultados da pesquisa.
4. Na página Política, selecione Introdução.
5. Em Atribuir políticas, selecione Exibir definições.
6. Na página Definições, digite firewall, na caixa de pesquisa.
7. Selecione Política de Firewall do Azure deve habilitar o Threat Intelligence.
8. Selecione Atribuir política.
9. Em Escopo, selecione sua assinatura e seu novo grupo de recursos.
10. Selecione Selecionar.
11. Selecione Seguinte.
12. Na página Parâmetros, desmarque a caixa de seleção Mostrar apenas parâmetros que precisam de entrada ou revisão.
13. Em Efeito, selecione Negar.
14. Selecione Analisar + criar.
15. Selecione Criar.

Criar uma política de firewall

Agora você tenta criar uma Política de Firewall com o Threat Intelligence desativado.

1. No portal do Azure, selecione Criar um recurso.
2. Na caixa de pesquisa, digite política de firewall e pressione Enter.
3. Selecione Política de firewall nos resultados da pesquisa.
4. Selecione Criar.
5. Selecione a sua subscrição.
6. Em Grupo de recursos, selecione o grupo de recursos criado anteriormente.
7. Na caixa de texto Nome, digite um nome para sua política.
8. Selecione Avançar : Configurações de DNS.
9. Continue a selecionar até à página de Inteligência de ameaças.
10. Para Modo de inteligência de ameaças, selecione Desativado.
11. Selecione Analisar + criar.

Você verá um erro que diz que seu recurso não foi permitido pela política, confirmando que sua Política do Azure não permite políticas de firewall com o Threat Intelligence desabilitado.

Definições adicionais da Política do Azure

Para obter mais definições de Política do Azure especificamente projetadas para o Firewall do Azure, incluindo políticas para configuração de proxy explícito, consulte o repositório GitHub do Azure Network Security. Este repositório contém definições de política contribuídas pela comunidade que você pode implantar em seu ambiente.

Conteúdos relacionados

• O que é o Azure Policy?
• Governar a configuração do Firewall do Azure com as Políticas do Azure
• Proxy explícito do Firewall do Azure (pré-visualização)