Perspectiva del marco de trabajo bien diseñado de Azure en Azure Firewall
Azure Firewall es un servicio de seguridad de firewall de red inteligente y nativo en la nube que proporciona la mejor protección contra amenazas para las cargas de trabajo en la nube que se ejecutan en Azure. Es un servicio de firewall totalmente con estado y administrado que tiene alta disponibilidad integrada y escalabilidad en la nube sin restricciones. Azure Firewall proporciona inspección del tráfico este-oeste y norte-sur.
En este artículo se supone que, como arquitecto, ha revisado las opciones de seguridad de red virtual y ha elegido Azure Firewall como servicio de seguridad de red para la carga de trabajo. Las instrucciones de este artículo proporcionan recomendaciones arquitectónicas que se asignan a los principios de los pilares de Azure Well-Architected Framework.
Importante
Cómo usar esta guía
Cada sección tiene una lista de comprobación de diseño que presenta áreas de interés arquitectónicas junto con estrategias de diseño localizadas al ámbito tecnológico.
También se incluyen recomendaciones sobre las funcionalidades tecnológicas que pueden ayudar a materializar esas estrategias. Las recomendaciones no representan una lista exhaustiva de todas las configuraciones disponibles para Azure Firewall y sus dependencias. En su lugar, enumeran las recomendaciones clave asignadas a las perspectivas de diseño. Use las recomendaciones para compilar la prueba de concepto o optimizar los entornos existentes.
Arquitectura básica que muestra las recomendaciones clave: topología de red en estrella tipo Hub-spoke en Azure.
Ámbito de la tecnología
Esta revisión se centra en las decisiones relacionadas entre sí para los siguientes recursos de Azure:
- Azure Firewall
- Azure Firewall Manager
Fiabilidad
El propósito del pilar confiabilidad es proporcionar funcionalidad continua mediante la creación de una resistencia suficiente y la capacidad de recuperarse rápidamente de los errores.
Los principios de diseño de confiabilidad proporcionan una estrategia de diseño de alto nivel aplicada a componentes individuales, flujos del sistema y al sistema en su conjunto.
Diseño de una lista de comprobación
Inicie la estrategia de diseño en función de la lista de comprobación de revisión de diseño para confiabilidad. Determine su relevancia para los requisitos empresariales a la vez que tenga en cuenta las directivas y el tipo de arquitectura que use. Amplíe la estrategia para incluir más enfoques según sea necesario.
Revise la lista de problemas conocidos de Azure Firewall. Los productos de Azure Firewall mantienen una lista actualizada de problemas conocidos. Esta lista contiene información importante sobre el comportamiento por diseño, las correcciones en construcción, las limitaciones de la plataforma y las posibles soluciones alternativas o estrategias de mitigación.
Asegúrese de que la directiva de Azure Firewall cumple los límites y recomendaciones de Azure Firewall. La estructura de directivas tiene límites, incluido el número de reglas y grupos de recopilación de reglas, el tamaño total de la directiva, los destinos de origen y los destinos de destino. Asegúrese de redactar la directiva y permanecer por debajo de los umbrales documentados.
Implemente Azure Firewall en varias zonas de disponibilidad para un acuerdo de nivel de servicio (SLA) superior. Azure Firewall proporciona diferentes acuerdos de nivel de servicio en función de si implementa el servicio en una sola zona de disponibilidad o en varias zonas. Para obtener más información, consulte Acuerdos de Nivel de Servicio para servicios en línea.
Implemente una instancia de Azure Firewall en cada región en entornos de varias regiones. Para conocer las arquitecturas en estrella tipo hub-and-spoke tradicionales, consulte Consideraciones sobre varias regiones. Para centros de Azure Virtual WAN protegidos, configure la intención de enrutamiento y las directivas para proteger las comunicaciones entre centros de conectividad y bifurcación a rama. Para cargas de trabajo resistentes a errores y tolerantes a errores, considere las instancias de Azure Firewall y Azure Virtual Network como recursos regionales.
Supervise las métricas de Azure Firewall y el estado de mantenimiento de los recursos. Azure Firewall se integra con Azure Resource Health. Use la comprobación de Resource Health para ver el estado de mantenimiento de Azure Firewall y solucionar problemas de servicio que podrían afectar al recurso de Azure Firewall.
Implemente Azure Firewall en redes virtuales de concentrador o como parte de los centros de conectividad de Virtual WAN.
Nota:
La disponibilidad de los servicios de red difiere entre el modelo tradicional de concentrador y radio y el modelo de centros protegidos administrados por Virtual WAN. Por ejemplo, en un centro de Virtual WAN, la dirección IP pública de Azure Firewall no puede provenir de un prefijo de DIRECCIÓN IP pública y no puede tener azure DDoS Protection habilitado. Al elegir el modelo, tenga en cuenta sus requisitos en los cinco pilares del marco bien diseñado.
Recomendaciones
| Recomendación | Prestación |
|---|---|
| Implemente Azure Firewall en varias zonas de disponibilidad. | Implemente Azure Firewall en varias zonas de disponibilidad para mantener un nivel específico de resistencia. Si una zona experimenta una interrupción, otra zona sigue atendiendo el tráfico. |
| Supervise las métricas de Azure Firewall en un área de trabajo de Log Analytics. Supervise detenidamente las métricas que indican el estado de mantenimiento de Azure Firewall, como el rendimiento, el estado de mantenimiento del firewall, el uso del puerto SNAT y las métricas de sondeo de latencia de AZFW. Use Azure Service Health para supervisar el estado de Azure Firewall. |
Supervise las métricas de recursos y el estado del servicio para que pueda detectar cuándo se degrada un estado de servicio y tomar medidas proactivas para evitar errores. |
Seguridad
El propósito del pilar seguridad es proporcionar garantías de confidencialidad, integridad y disponibilidad a la carga de trabajo.
Los principios de diseño de seguridad proporcionan una estrategia de diseño de alto nivel para lograr esos objetivos aplicando enfoques al diseño técnico de Azure Firewall.
Diseño de una lista de comprobación
Inicie la estrategia de diseño en función de la lista de comprobación de revisión de diseño para seguridad. Identifique vulnerabilidades y controles para mejorar la posición de seguridad. Amplíe la estrategia para incluir más enfoques según sea necesario.
Envíe todo el tráfico de Internet desde la carga de trabajo a través de un firewall o una aplicación virtual de red (NVA) para detectar y bloquear amenazas. Configure rutas definidas por el usuario (UDR) para forzar el tráfico a través de Azure Firewall. Para el tráfico web, considere la posibilidad de usar Azure Firewall como proxy explícito.
Configure proveedores de seguridad de software como servicio (SaaS) compatibles en Firewall Manager si desea usar estos proveedores para proteger las conexiones salientes.
Restrinja el uso de direcciones IP públicas que están directamente vinculadas a máquinas virtuales para que el tráfico no pueda omitir el firewall. El modelo de Azure Cloud Adoption Framework asigna una directiva de Azure específica al grupo de administración corp.
Siga la guía de configuración de Confianza cero para Azure Firewall y Application Gateway si sus necesidades de seguridad requieren que implemente un enfoque de Confianza cero para aplicaciones web, como agregar inspección y cifrado. Siga esta guía para integrar Azure Firewall y Application Gateway para escenarios tradicionales de hub-and-spoke y Virtual WAN.
Para obtener más información, consulte Aplicación de firewalls en el perímetro.
Establezca perímetros de red como parte de la estrategia de segmentación de cargas de trabajo para controlar el radio de explosión, ofuscar los recursos de carga de trabajo y bloquear el acceso inesperado, prohibido y no seguro. Cree reglas para las directivas de Azure Firewall en función de los criterios de acceso con privilegios mínimos.
Establezca la dirección IP pública en Ninguno para implementar un plano de datos totalmente privado al configurar Azure Firewall en modo de tunelización forzada. Este enfoque no se aplica a Virtual WAN.
Use nombres de dominio completos (FQDN) y etiquetas de servicio al definir reglas de red para simplificar la administración.
Use mecanismos de detección para supervisar diligentemente las amenazas y los signos de abuso. Aproveche los mecanismos y medidas de detección proporcionados por la plataforma. Habilite el sistema de detección y prevención de intrusiones (IDPS). Asocie un plan de Azure DDoS Protection a la red virtual del centro de conectividad.
Para obtener más información, consulte Detección de abusos.
Recomendaciones
| Recomendación | Prestación |
|---|---|
| Configure Azure Firewall en modo de tunelización forzada si necesita enrutar todo el tráfico enlazado a Internet a un próximo salto designado en lugar de directamente a Internet. Esta recomendación no se aplica a Virtual WAN. Azure Firewall debe tener conectividad directa a Internet. Si AzureFirewallSubnet aprende una ruta predeterminada a la red local a través del protocolo border Gateway, debe configurar Azure Firewall en modo de tunelización forzada. Puede usar la característica de tunelización forzada para agregar otro espacio de direcciones /26 para la subred De administración de Azure Firewall. Asigne un nombre a la subred AzureFirewallManagementSubnet. Si tiene una instancia de Azure Firewall existente que no puede volver a configurar en modo de tunelización forzada, cree una UDR con una ruta 0.0.0.0/0. Establezca el valor NextHopType como Internet. Para mantener la conectividad a Internet, asocie la UDR a AzureFirewallSubnet. Establezca la dirección IP pública en Ninguno para implementar un plano de datos totalmente privado al configurar Azure Firewall en modo de tunelización forzada. Pero el plano de administración todavía requiere una dirección IP pública solo para fines de administración. El tráfico interno de redes virtuales y locales no usa esa dirección IP pública. |
Use la tunelización forzada para que no exponga los recursos de Azure directamente a Internet. Este enfoque reduce la superficie expuesta a ataques y minimiza el riesgo de amenazas externas. Para aplicar directivas corporativas y requisitos de cumplimiento de forma más eficaz, enrute todo el tráfico enlazado a Internet a través de un firewall local o una aplicación virtual de red. |
| Cree reglas para las directivas de firewall en una estructura jerárquica para superponer una directiva base central. Para más información, consulte Uso de directivas de Azure Firewall para procesar reglas. Creación de reglas basadas en el principio de acceso con privilegios mínimos Confianza cero |
Organice las reglas en una estructura jerárquica para que las directivas granulares puedan cumplir los requisitos de regiones específicas. Cada directiva puede contener diferentes conjuntos de reglas de traducción de direcciones de red de destino (DNAT), redes y aplicaciones que tienen prioridades, acciones y pedidos de procesamiento específicos. |
| Configure los proveedores de asociados de seguridad admitidos en Firewall Manager para proteger las conexiones salientes. Este escenario requiere Virtual WAN con una puerta de enlace de VPN S2S en el centro porque usa un túnel IPsec para conectarse a la infraestructura del proveedor. Los proveedores de servicios de seguridad administrados pueden cobrar tarifas adicionales de licencia y limitar el rendimiento en las conexiones IPsec. También puede usar soluciones alternativas, como Zscaler Cloud Connector. |
Habilite los proveedores de asociados de seguridad en Azure Firewall para aprovechar las mejores ofertas de seguridad en la nube, que proporcionan protección avanzada para el tráfico de Internet. Estos proveedores ofrecen funcionalidades de filtrado especializadas, compatibles con el usuario y detección de amenazas completas que mejoran la posición general de seguridad. |
| Habilite la configuración del proxy DNS de Azure Firewall. Configure también Azure Firewall para usar DNS personalizado para reenviar consultas DNS. |
Habilite esta característica para que apunte los clientes de las redes virtuales a Azure Firewall como servidor DNS. Esta característica protege la infraestructura DNS interna a la que no se accede directamente y se expone. |
| Configure las UDR para forzar el tráfico a través de Azure Firewall en una arquitectura tradicional en estrella tipo hub-and-spoke para radios, radios a Internet y conectividad de radio a híbrido. En Virtual WAN, configure la intención de enrutamiento y las directivas para redirigir el tráfico privado o el tráfico de Internet a través de la instancia de Azure Firewall integrada en el centro. Si no puede aplicar una UDR y solo necesita redireccionamiento del tráfico web, use Azure Firewall como proxy explícito en la ruta de acceso de salida. Puede configurar una configuración de proxy en la aplicación de envío, como un explorador web, al configurar Azure Firewall como proxy. |
Envíe tráfico a través del firewall para inspeccionar el tráfico y ayudar a identificar y bloquear el tráfico malintencionado. Use Azure Firewall como proxy explícito para el tráfico saliente para que el tráfico web llegue a la dirección IP privada del firewall y, por tanto, salga directamente del firewall sin usar una UDR. Esta característica también facilita el uso de varios firewalls sin modificar las rutas de red existentes. |
| Use el filtrado de FQDN en las reglas de red. Debe habilitar la configuración del proxy DNS de Azure Firewall para usar FQDN en las reglas de red. | Use FQDN en reglas de red de Azure Firewall para que los administradores puedan administrar nombres de dominio en lugar de varias direcciones IP, lo que simplifica la administración. Esta resolución dinámica garantiza que las reglas de firewall se actualicen automáticamente cuando cambien las direcciones IP de dominio. |
| Use etiquetas de servicio de Azure Firewall en lugar de direcciones IP específicas para proporcionar acceso selectivo a servicios específicos en Azure, Microsoft Dynamics 365 y Microsoft 365. | Use etiquetas de servicio en reglas de red para que pueda definir controles de acceso basados en nombres de servicio en lugar de direcciones IP específicas, lo que simplifica la administración de seguridad. Microsoft administra y actualiza estas etiquetas automáticamente cuando cambian las direcciones IP. Este método garantiza que las reglas de firewall sigan siendo precisas y eficaces sin intervención manual. |
| Use etiquetas FQDN en reglas de aplicación para proporcionar acceso selectivo a servicios Microsoft específicos. Puede usar una etiqueta FQDN en las reglas de aplicación para permitir el tráfico de red saliente necesario a través del firewall para servicios específicos de Azure, como Microsoft 365, Windows 365 y Microsoft Intune. |
Use etiquetas FQDN en reglas de aplicación de Azure Firewall para representar un grupo de FQDN asociados a servicios Microsoft conocidos. Este método simplifica la administración de reglas de seguridad de red. |
| Habilite la inteligencia sobre amenazas en Azure Firewall en modo de alerta y denegación . | Use la inteligencia sobre amenazas para proporcionar protección en tiempo real frente a amenazas emergentes, lo que reduce el riesgo de ciberataques. Esta característica usa la fuente de inteligencia sobre amenazas de Microsoft para alertar y bloquear automáticamente el tráfico de direcciones IP, dominios y direcciones URL malintencionadas conocidas. |
| Habilite el IDPS en modo alerta o alerta y denegación. Tenga en cuenta el impacto en el rendimiento de esta característica. | Habilitar el filtrado de IDPS en Azure Firewall proporciona supervisión y análisis en tiempo real del tráfico de red para detectar y evitar actividades malintencionadas. Esta característica usa la detección basada en firmas para identificar rápidamente las amenazas conocidas y bloquearlas antes de causar daños. Para obtener más información, consulte Detección de abusos. |
| Use una entidad de certificación (CA) empresarial interna para generar certificados al usar la inspección de TLS con Azure Firewall Premium. Use certificados autofirmados solo con fines de prueba de concepto (PoC). | Habilite la inspección de TLS para que Azure Firewall Premium finalice e inspeccione las conexiones TLS para detectar, alertar y mitigar la actividad malintencionada en HTTPS. |
| Use Firewall Manager para crear y asociar un plan de Azure DDoS Protection a la red virtual del centro de conectividad. Este enfoque no se aplica a Virtual WAN. | Configure un plan de Azure DDoS Protection para que pueda administrar de forma centralizada la protección contra DDoS junto con las directivas de firewall. Este enfoque simplifica la administración de la seguridad de red y simplifica la implementación y supervisión de los procesos. |
Optimización de costos
La optimización de costos se centra en detectar patrones de gasto, priorizar las inversiones en áreas críticas y optimizar en otros usuarios para satisfacer el presupuesto de la organización al tiempo que cumple los requisitos empresariales.
Los principios de diseño de optimización de costos proporcionan una estrategia de diseño de alto nivel para lograr esos objetivos y hacer inconvenientes según sea necesario en el diseño técnico relacionado con Azure Firewall y su entorno.
Diseño de una lista de comprobación
Inicie la estrategia de diseño en función de la lista de comprobación de revisión de diseño para la optimización de costos para las inversiones. Ajuste el diseño para que la carga de trabajo esté alineada con el presupuesto asignado para la carga de trabajo. El diseño debe usar las funcionalidades adecuadas de Azure, supervisar las inversiones y encontrar oportunidades para optimizar con el tiempo.
Seleccione una SKU de Azure Firewall que se va a implementar. Elija entre tres SKU de Azure Firewall: Básico, Estándar y Premium. Use Azure Firewall Premium para proteger aplicaciones altamente confidenciales, como el procesamiento de pagos. Use Azure Firewall Estándar si la carga de trabajo necesita un firewall de nivel 3 a nivel 7 y necesita escalado automático para controlar los períodos de tráfico máximo de hasta 30 Gbps. Use Azure Firewall Basic si usa SMB y requiere hasta 250 Mbps de rendimiento. Puede cambiar a una versión anterior o actualizar entre las SKU Estándar y Premium. Para más información, consulte Elección de la SKU correcta de Azure Firewall.
Quite las implementaciones de firewall sin usar y optimice las implementaciones infrautilizadas. Detenga las implementaciones de Azure Firewall que no necesiten ejecutarse continuamente. Identifique y elimine implementaciones de Azure Firewall sin usar. Para reducir los costos operativos, supervise y optimice el uso de instancias de firewall, la configuración de directivas de Azure Firewall Manager y el número de direcciones IP y directivas públicas que use.
Comparta la misma instancia de Azure Firewall. Puede usar una instancia central de Azure Firewall en la red virtual del concentrador o el centro seguro de Virtual WAN y compartir la misma instancia de Azure Firewall entre redes virtuales de radio que se conectan al mismo centro desde la misma región. Asegúrese de que no tiene tráfico inesperado entre regiones en una topología en estrella tipo hub-and-spoke.
Optimice el tráfico a través del firewall. Revise periódicamente el tráfico que procesa Azure Firewall. Busque oportunidades para reducir la cantidad de tráfico que atraviesa el firewall.
Reduzca la cantidad de datos de registro que almacena. Azure Firewall puede usar Azure Event Hubs para registrar exhaustivamente los metadatos del tráfico y enviarlos a áreas de trabajo de Log Analytics, Azure Storage o soluciones que no son de Microsoft. Todas las soluciones de registro incurren en costos para procesar datos y proporcionar almacenamiento. Grandes cantidades de datos pueden incurrir en costos significativos. Considere un enfoque rentable y una alternativa a Log Analytics y calcule el costo. Tenga en cuenta si necesita registrar metadatos de tráfico para todas las categorías de registro.
Recomendaciones
| Recomendación | Prestación |
|---|---|
| Detenga las implementaciones de Azure Firewall que no necesiten ejecutarse continuamente. Es posible que tenga entornos de desarrollo o pruebas que solo use durante el horario comercial. Para más información, consulte Desasignar y asignar Azure Firewall. | Apague estas implementaciones durante las horas de poca actividad o cuando esté inactiva para reducir los gastos innecesarios, pero mantenga la seguridad y el rendimiento durante los tiempos críticos. |
| Revise periódicamente el tráfico que Azure Firewall procesa y busque optimizaciones de cargas de trabajo de origen. El registro de flujos principales, también conocido como registro de flujos de grasa, muestra las conexiones principales que contribuyen al mayor rendimiento a través del firewall. | Optimice las cargas de trabajo que generan más tráfico a través del firewall para reducir el volumen de tráfico, lo que reduce la carga en el firewall y minimiza los costos de procesamiento de datos y ancho de banda. |
| Identifique y elimine implementaciones de Azure Firewall sin usar. Analice las métricas de supervisión y las UDR asociadas a subredes que apunten a la dirección IP privada del firewall. Considere también otras validaciones e documentación interna sobre el entorno y las implementaciones. Por ejemplo, analice las reglas de aplicación, red y NAT clásicas para Azure Firewall. Y tenga en cuenta la configuración. Por ejemplo, puede configurar la configuración del proxy DNS en Deshabilitado. Para más información, consulte Supervisión de Azure Firewall. |
Use este enfoque para detectar implementaciones rentables a lo largo del tiempo y eliminar los recursos no utilizados, lo que evita costos innecesarios. |
| Revise cuidadosamente las directivas, asociaciones y herencia de Firewall Manager para optimizar el costo. Las directivas se facturan en función de las asociaciones del firewall. Una directiva con cero o una asociación de firewall es gratuita. Una directiva con varias asociaciones de firewall se factura según una tarifa fija. Para más información, consulte Precios de Firewall Manager. |
Use correctamente Firewall Manager y sus directivas para reducir los costos operativos, aumentar la eficiencia y reducir la sobrecarga de administración. |
| Revise todas las direcciones IP públicas de la configuración y desasocie y elimine las que no use. Evalúe el uso del puerto de traducción de direcciones de red de origen (SNAT) antes de quitar las direcciones IP. Para más información, consulte Supervisión de los registros y métricas de Azure Firewall y el uso de puertos SNAT. |
Elimine las direcciones IP sin usar para reducir los costos. |
Excelencia operativa
La excelencia operativa se centra principalmente en los procedimientos para las prácticas de desarrollo, la observabilidad y la administración de versiones.
Los principios de diseño de excelencia operativa proporcionan una estrategia de diseño de alto nivel para lograr esos objetivos para los requisitos operativos de la carga de trabajo.
Diseño de una lista de comprobación
Inicie la estrategia de diseño en función de la lista de comprobación de revisión de diseño para la excelencia operativa para definir procesos de observabilidad, pruebas e implementación relacionados con Azure Firewall.
Use Firewall Manager con topologías tradicionales en estrella tipo hub-and-spoke o topologías de red virtual WAN para implementar y administrar instancias de Azure Firewall. Use servicios de seguridad nativos para la gobernanza y protección del tráfico para crear arquitecturas de tipo hub-and-spoke y transitivas. Para obtener más información, consulte Topología de red y conectividad.
Migre reglas clásicas de Azure Firewall a directivas de Firewall Manager para implementaciones existentes. Use Firewall Manager para administrar de forma centralizada los firewalls y las directivas. Para más información, consulte Migración a Azure Firewall Premium.
Mantenga copias de seguridad periódicas de artefactos de Azure Policy. Si usa un enfoque de infraestructura como código para mantener Azure Firewall y todas las dependencias, debe tener la copia de seguridad y el control de versiones de las directivas de Azure Firewall. Si no lo hace, puede implementar un mecanismo complementario basado en una aplicación lógica externa para proporcionar una solución automatizada eficaz.
Supervisión de métricas y registros de Azure Firewall Aproveche los registros de diagnóstico para la supervisión del firewall y la solución de problemas y los registros de actividad para las operaciones de auditoría.
Analice los datos de supervisión para evaluar el estado general del sistema. Use el libro de supervisión integrado de Azure Firewall, familiarícese con las consultas de Lenguaje de consulta Kusto (KQL) y use el panel de análisis de directivas para identificar posibles problemas.
Defina alertas para eventos clave para que los operadores puedan responder rápidamente a ellos.
Aproveche los mecanismos de detección proporcionados por la plataforma en Azure para detectar abusos. Integre Azure Firewall con Microsoft Defender for Cloud y Microsoft Sentinel si es posible. Integre con Defender for Cloud para que pueda visualizar el estado de la infraestructura de red y la seguridad de red en un solo lugar, incluida la seguridad de red de Azure en todas las redes virtuales y centros virtuales de diferentes regiones de Azure. Integración con Microsoft Sentinel para proporcionar funcionalidades de detección y prevención de amenazas.
Recomendaciones
| Recomendación | Prestación |
|---|---|
| Habilite los registros de diagnóstico para Azure Firewall. Use registros de firewall o libros para supervisar Azure Firewall. También puede usar los registros de actividad para auditar las operaciones de los recursos de Azure Firewall. Use el formato de registros de firewall estructurado. Use solo el formato de registros de diagnóstico anterior si tiene una herramienta existente que la requiera. No habilite ambos formatos de registro al mismo tiempo. |
Habilite los registros de diagnóstico para optimizar las herramientas y estrategias de supervisión de Azure Firewall. Use registros de firewall estructurados para estructurar los datos de registro para que sea fácil buscar, filtrar y analizar. Las herramientas de supervisión más recientes se basan en este tipo de registro, por lo que a menudo es un requisito previo. |
| Use el libro integrado de Azure Firewall. | Use el libro de Azure Firewall para extraer información valiosa de los eventos de Azure Firewall, analizar las reglas de red y la aplicación y examinar las estadísticas sobre las actividades de firewall entre direcciones URL, puertos y direcciones. |
| Supervise los registros y las métricas de Azure Firewall y cree alertas para la capacidad de Azure Firewall. Cree alertas para supervisar el rendimiento, el estado de mantenimiento del firewall, el uso del puerto SNAT y las métricas de sondeo de latencia de AZFW. | Configure alertas para eventos clave para notificar a los operadores antes de que surjan posibles problemas, ayudar a evitar interrupciones e iniciar ajustes rápidos de capacidad. |
| Revise periódicamente el panel de análisis de directivas para identificar posibles problemas. | Use el análisis de directivas para analizar el impacto de las directivas de Azure Firewall. Identifique posibles problemas en las directivas, como límites de directivas de reunión, reglas incorrectas y uso incorrecto de grupos de IP. Obtenga recomendaciones para mejorar la posición de seguridad y el rendimiento del procesamiento de reglas. |
| Conozca las consultas de KQL para que pueda usar los registros de Azure Firewall para analizar y solucionar problemas rápidamente. Azure Firewall proporciona consultas de ejemplo. | Use consultas KQL para identificar rápidamente eventos dentro del firewall y comprobar qué regla se desencadena o qué regla permite o bloquea una solicitud. |
Eficiencia del rendimiento
La eficiencia del rendimiento consiste en mantener la experiencia del usuario incluso cuando hay un aumento de la carga mediante la administración de la capacidad. La estrategia incluye el escalado de recursos, la identificación y la optimización de posibles cuellos de botella y la optimización del rendimiento máximo.
Los principios de diseño de eficiencia del rendimiento proporcionan una estrategia de diseño de alto nivel para lograr esos objetivos de capacidad con respecto al uso esperado.
Diseño de una lista de comprobación
Inicie la estrategia de diseño en función de la lista de comprobación de revisión de diseño para la eficiencia del rendimiento. Defina una línea base basada en indicadores clave de rendimiento para Azure Firewall.
Optimice la configuración de Azure Firewall de acuerdo con las recomendaciones del marco bien diseñado para optimizar el código y la infraestructura y garantizar una operación máxima. Para mantener una red eficaz y segura, revise y optimice periódicamente las reglas de firewall. Esta práctica ayuda a garantizar que las configuraciones del firewall sigan siendo eficaces y actualizadas con las amenazas de seguridad más recientes.
Evalúe los requisitos de directiva y busque oportunidades para resumir los intervalos IP y las listas de direcciones URL. Use categorías web para permitir o denegar el acceso saliente de forma masiva para simplificar la administración y mejorar la seguridad. Evalúe el impacto en el rendimiento de IDPS en modo de alerta y denegación , ya que esta configuración puede afectar a la latencia y el rendimiento de la red. Configure direcciones IP públicas para admitir los requisitos de puerto SNAT. Siga estos procedimientos para crear una infraestructura de seguridad de red sólida y escalable.
No use Azure Firewall para el control de tráfico dentro de la red virtual. Use Azure Firewall para controlar los siguientes tipos de tráfico:
- Tráfico entre redes virtuales
- Tráfico entre redes virtuales y redes locales
- Tráfico saliente a Internet
- Tráfico entrante que no es HTTP o no HTTPS
Para el control de tráfico dentro de la red virtual, use grupos de seguridad de red.
Preparación correcta de Azure Firewall antes de las pruebas de rendimiento. Cree el tráfico inicial que no forme parte de las pruebas de carga 20 minutos antes de las pruebas. Use la configuración de diagnóstico para capturar eventos de escalado y reducción vertical. Puede usar el servicio Azure Load Testing para generar el tráfico inicial para que pueda escalar verticalmente Azure Firewall al número máximo de instancias.
Configure una subred de Azure Firewall con un espacio de direcciones /26. Necesita una subred dedicada para Azure Firewall. Azure Firewall aprovisiona más capacidad a medida que se escala. Un espacio de direcciones /26 garantiza que el firewall tiene suficientes direcciones IP disponibles para acomodar el escalado. Azure Firewall no requiere una subred mayor que /26. Asigne un nombre a la subred de Azure Firewall AzureFirewallSubnet.
No habilite el registro avanzado si no lo necesita. Azure Firewall proporciona algunas funcionalidades de registro avanzadas que pueden suponer costos significativos para mantenerse activos. En su lugar, puede usar estas funcionalidades solo con fines de solución de problemas y para cantidades de tiempo limitadas. Deshabilite las funcionalidades cuando no las necesite. Por ejemplo, los flujos principales y los registros de seguimiento de flujo son costosos y pueden provocar un uso excesivo de CPU y almacenamiento en la infraestructura de Azure Firewall.
Recomendaciones
| Recomendación | Prestación |
|---|---|
| Use el panel de análisis de directivas para identificar formas de optimizar las directivas de Azure Firewall. | Use el análisis de directivas para identificar posibles problemas en las directivas, como cumplir los límites de directivas, las reglas incorrectas y el uso incorrecto de grupos de IP. Obtenga recomendaciones para mejorar la posición de seguridad y el rendimiento del procesamiento de reglas. |
| Coloque reglas usadas con frecuencia al principio de un grupo para optimizar la latencia de las directivas de Azure Firewall que tienen grandes conjuntos de reglas. Para más información, consulte Uso de directivas de Azure Firewall para procesar reglas. |
Coloque las reglas usadas con frecuencia en un conjunto de reglas para optimizar la latencia de procesamiento. Azure Firewall procesa reglas basadas en el tipo de regla, la herencia, la prioridad del grupo de recopilación de reglas y la prioridad de la recopilación de reglas. Azure Firewall procesa primero los grupos de recopilación de reglas de alta prioridad. Dentro de un grupo de recopilación de reglas, Azure Firewall procesa primero las colecciones de reglas que tienen la prioridad más alta. |
| Use grupos IP para resumir intervalos de direcciones IP y evitar superar el límite de reglas de red de origen únicas o de destino únicas. Azure Firewall trata el grupo IP como una sola dirección al crear reglas de red. | Este enfoque aumenta eficazmente el número de direcciones IP que puede cubrir sin superar el límite. Para cada regla, Azure multiplica los puertos por direcciones IP. Por lo tanto, si una regla tiene cuatro intervalos de direcciones IP y cinco puertos, consumirá 20 reglas de red. |
| Use categorías web de Azure Firewall para permitir o denegar el acceso saliente de forma masiva, en lugar de crear y mantener explícitamente una larga lista de sitios de Internet públicos. | Esta característica clasifica dinámicamente el contenido web y permite la creación de reglas de aplicación compactas, lo que reduce la sobrecarga operativa. |
| Evalúe el impacto en el rendimiento de IDPS en modo de alerta y denegación . Para más información, consulte Rendimiento de Azure Firewall. | Habilite IDPS en modo de alerta y denegación para detectar y evitar actividades de red malintencionadas. Esta característica podría introducir una penalización de rendimiento. Comprenda el efecto en la carga de trabajo para que pueda planear en consecuencia. |
| Configure las implementaciones de Azure Firewall con un mínimo de cinco direcciones IP públicas para las implementaciones que son susceptibles al agotamiento de puertos SNAT. | Azure Firewall admite 2496 puertos para cada dirección IP pública que usa cada instancia de Azure Virtual Machine Scale Sets de back-end. Esta configuración aumenta los puertos SNAT disponibles cinco veces. De forma predeterminada, Azure Firewall implementa dos instancias de Virtual Machine Scale Sets que admiten 4992 puertos para cada ip de destino de flujo, puerto de destino y protocolo TCP o UDP. El firewall se escala verticalmente hasta un máximo de 20 instancias. |
Directivas de Azure
Azure proporciona un amplio conjunto de directivas integradas relacionadas con Azure Firewall y sus dependencias. Algunas de las recomendaciones anteriores se pueden auditar mediante Azure Policy. Por ejemplo, puede comprobar si:
Las interfaces de red no deben tener direcciones IP públicas. Esta directiva deniega las interfaces de red configuradas con una dirección IP pública. Las direcciones IP públicas permiten a los recursos de Internet comunicarse entrantes con recursos de Azure y los recursos de Azure pueden comunicarse salientes a Internet.
Todo el tráfico de Internet debe enrutarse a través de la instancia de Azure Firewall implementada. Azure Security Center identifica que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas. Use Azure Firewall o un firewall de próxima generación compatible para restringir el acceso a las subredes.
Para una gobernanza completa, revise las definiciones integradas de Azure Policy para Azure Firewall y otras directivas que podrían afectar a la seguridad de la red.
Recomendaciones de Azure Advisor
Azure Advisor es un consultor en la nube personalizado que ayuda a seguir los procedimientos recomendados para optimizar las implementaciones de Azure. Estas son algunas recomendaciones que pueden ayudarle a mejorar la confiabilidad, la seguridad, la rentabilidad, el rendimiento y la excelencia operativa de Azure Firewall.
Pasos siguientes
Consulte los siguientes recursos que muestran las recomendaciones de este artículo.
Use las siguientes arquitecturas de referencia como ejemplos de cómo aplicar las instrucciones de este artículo a una carga de trabajo:
Use los siguientes recursos para mejorar la experiencia de implementación:
Consulte otros recursos: