Disponibilidad general de Azure Firewall Manager

Publicado el 1 julio, 2020

Senior Program Manager

Azure Firewall Manager ya está disponible con carácter general e incluye los componentes Directiva de Azure Firewall, Azure Firewall en un centro de conectividad de Virtual WAN (centro virtual protegido) y Red virtual de centro de conectividad. Además, se han incorporado varias características nuevas a Firewall Manager y Directiva de firewall para que estén en línea con las características de configuración independientes de Azure Firewall.

Las principales características de esta versión son:

  • La lista de permitidos del filtrado basado en inteligencia de amenazas ya está disponible con carácter general.
  • La compatibilidad con varias direcciones IP públicas para Azure Firewall en un centro virtual protegido ya está disponible con carácter general.
  • La funcionalidad de tunelización forzada para Red virtual de centro de conectividad ya está disponible con carácter general.
  • Configuración de centros virtuales protegidos con Azure Firewall para el tráfico este-oeste (privado) y un asociado de seguridad como servicio (SECaaS) de su elección para el tráfico norte-sur (enlazado a Internet).
  • La integración de asociados de SECaaS ya está disponible con carácter general en todas las regiones de la nube pública de Azure.
  • La integración de Zscaler estará disponible con carácter general el 3 de julio de 2020. Check Point es un asociado de SECaaS admitido y estará disponible en versión preliminar el 3 de julio de 2020. La integración de iboss estará disponible con carácter general el 31 de julio de 2020.
  • La compatibilidad con servidores proxy de sistema de nombres de dominio (DNS), DNS personalizados y el filtrado por nombre de dominio completo (FQDN) en las reglas de red que utilizan Directiva de Firewall está ahora en versión preliminar.

 

Asociados de Azure Firewall Manager: Zscaler, Check Point e iboss.

Directiva de Firewall ya está disponible con carácter general

Una directiva de firewall es un recurso de Azure que contiene las colecciones de reglas de aplicación, de red y de traducción de direcciones de red (NAT), así como la configuración de DNS y de inteligencia sobre amenazas. Se trata de un recurso global que se puede usar en varias instancias de Azure Firewall en centros virtuales protegidos y en redes virtuales de centro de conectividad. Las directivas de firewall funcionan entre regiones y suscripciones.

No se necesita Firewall Manager para crear una directiva de firewall. Hay muchas formas de crear y administrar una directiva de firewall; por ejemplo, usando una API REST, PowerShell o la interfaz de la línea de comandos (CLI).

Después de crear una directiva de firewall, puede asociarla a uno o varios firewalls usando Firewall Manager, o bien usando una API REST, PowerShell o la CLI.  Consulte el documento de información general sobre las directivas para obtener una comparación más detallada de las reglas y las directivas.

Migración de reglas de firewall independientes a Directiva de Firewall

También puede crear una directiva de firewall migrando reglas de una instancia de Azure Firewall. Puede usar un script para migrar las reglas de firewall a Directiva de Firewall, o bien puede usar Firewall Manager en Azure Portal.

Ejemplo de importación de reglas de una instancia de Azure Firewall.

Importación de reglas de una instancia de Azure Firewall.

Precios de Directiva de Firewall

Si solo crea un recurso de Directiva de Firewall, no incurrirá en ningún cargo. Además, una directiva de firewall no se factura si está asociada a una sola instancia de Azure Firewall. No hay restricciones en cuanto al número de directivas que se pueden crear.

Los precios de Directiva de Firewall son fijos por directiva de firewall y por región. Dentro de una región, el precio de una directiva de firewall que administre 5 firewalls o 50 firewalls es el mismo. En el ejemplo siguiente se usan cuatro directivas de firewall para administrar 10 firewalls de Azure distintos:

  • Directiva 1: cac2020region1policy: asociada a seis firewalls en cuatro regiones. La facturación se realiza por región, no por firewall.
  • Directiva 2: cac2020region2policy: asociada a tres firewalls en tres regiones. Se factura por tres regiones, independientemente del número de firewalls por región.
  • Directiva 3: cac2020region3policy: no se factura porque la directiva no está asociada a más de un firewall.
  • Directiva 4: cacbasepolicy: directiva central heredada por las tres directivas. Esta directiva se factura por cinco regiones. Una vez más, los precios son más bajos que en la facturación por firewall.

Ejemplo de facturación de Directiva de Firewall.

Ejemplo de facturación de Directiva de Firewall.

Configuración de una lista de permitidos de inteligencia de amenazas, un proxy DNS y un DNS personalizado

Con esta actualización, Directiva de Firewall admite más configuraciones, como un DNS y un proxy DNS personalizados (en versión preliminar) y una lista de permitidos de inteligencia de amenazas. La configuración de un intervalo de direcciones IP privadas SNAT no está disponible todavía, pero está en nuestra hoja de ruta.

Aunque una directiva de firewall normalmente se puede compartir entre varios firewalls, las reglas NAT son específicas del firewall y no se pueden compartir. No obstante, se puede crear una directiva principal sin reglas NAT para compartirla entre varios firewalls y una directiva derivada local en firewalls específicos para agregar las reglas NAT necesarias. Más información acerca de Directiva de Firewall.

Ahora Directiva de Firewall admite grupos de IP

Los grupos de IP son un nuevo recurso de Azure de nivel superior que permite agrupar y administrar las direcciones IP con reglas de Azure Firewall. La compatibilidad con grupos de IP se trata con más detalle en esta entrada reciente del blog de Azure Firewall.

Configuración de centros virtuales protegidos con Azure Firewall y un socio de SECaaS

Ahora puede configurar centros de conectividad virtuales con Azure Firewall para filtrar el tráfico privado (de red virtual a red virtual o de sucursal a red virtual) y un asociado de seguridad de su elección para filtrar el tráfico de Internet (de red virtual a Internet o de sucursal a Internet).

Un proveedor de seguridad asociado en Firewall Manager le permite usar las mejores ofertas de SECaaS de terceros que ya conoce para proteger el acceso de los usuarios a Internet. Con una configuración rápida, puede proteger un centro de conectividad con un asociado de seguridad admitido y redirigir y filtrar el tráfico de Internet de sus redes virtuales (VNet) o sucursales de una región. Para esto se utiliza la administración de rutas automatizada, sin necesidad de configurar ni administrar rutas definidas por el usuario (UDR).

Para crear un centro virtual protegido, puede utilizar el flujo de trabajo Crear un nuevo centro virtual protegido de Firewall Manager. La siguiente captura de pantalla muestra un nuevo centro virtual protegido configurado con dos proveedores de seguridad.

Nuevo centro virtual protegido configurado con dos proveedores de seguridad.

Creación de un nuevo centro virtual protegido configurado con dos proveedores de seguridad.

Protección de la conectividad

Después de crear un centro de conectividad protegido, debe actualizar su configuración de seguridad para indicar explícitamente cómo desea redirigir el tráfico de Internet y privado en el centro de conectividad. En el caso del tráfico privado, no es necesario especificar los prefijos si están dentro del intervalo de RFC1918. Si su organización usa direcciones IP públicas en redes virtuales y sucursales, debe agregar esos prefijos de IP de forma explícita.

Para simplificar esta experiencia, ahora puede especificar prefijos agregados en lugar de especificar subredes individuales. Además, para la seguridad en Internet con un proveedor de seguridad de terceros, debe completar la configuración en el portal del asociado. Si desea obtener más información, consulte la página sobre los proveedores de seguridad asociados.

Ejemplo de cómo seleccionar una solución SECaaS de terceros para filtrar el tráfico de Internet.

Selección de una solución SECaaS de terceros para filtrar el tráfico de Internet.

Precios de los centros virtuales protegidos

Un centro virtual protegido es un centro de conectividad de Azure Virtual WAN con directivas de enrutamiento y seguridad asociadas configuradas por Firewall Manager. Los precios de los centros virtuales protegidos dependen de los proveedores de seguridad configurados.

Opciones de precios de los centros virtuales protegidos.

Consulte la página de precios de Firewall Manager para obtener más información.

Pasos siguientes

Si desea obtener más información sobre estos anuncios, vea los siguientes recursos: