En esta entrada ha colaborado Yair Tor, director principal de programas, Redes de Azure.
El pasado mes de noviembre presentamos la versión preliminar de Microsoft Azure Firewall Manager para la administración de rutas y directivas de Azure Firewall en centros virtuales protegidos. Esto incluía también la integración con asociados de seguridad como servicio fundamentales: Zscaler, iboss y, próximamente, Check Point. Estos asociados sustentan escenarios de rama a Internet y de red virtual a Internet.
Hoy ampliamos la versión preliminar de Azure Firewall Manager para incluir la implementación automática y la administración central de directivas de seguridad para Azure Firewall en redes virtuales de centro de conectividad.
Azure Firewall Manager (en versión preliminar) es un servicio de administración de la seguridad de red que proporciona administración central de directivas de seguridad y rutas para perímetros de seguridad basados en la nube. Permite a los equipos de TI de una empresa definir fácilmente y de forma centralizada reglas a nivel de red y de aplicación para filtrar el tráfico de varias instancias de Azure Firewall, que abarquen diferentes regiones y suscripciones de Azure en arquitecturas en estrella de tipo hub-and-spoke, con fines de gobernanza y protección del tráfico. Además, favorece la metodología DevOps para mejorar la agilidad con directivas de seguridad de firewall locales derivadas que se implementan en las organizaciones.
Si desea obtener más información, consulte la documentación de Azure Firewall Manager.
Figura 1. Página de introducción de Azure Firewall Manager
Redes virtuales de centro de conectividad y centros virtuales protegidos
Azure Firewall Manager puede proporcionar administración de la seguridad para dos tipos de arquitectura de red:
- Centro virtual protegido. Un centro de conectividad de Azure Virtual WAN es un recurso administrado por Microsoft que permite crear fácilmente arquitecturas en estrella de tipo hub-and-spoke. Cuando hay directivas de seguridad y enrutamiento asociadas a este centro de conectividad, se denomina centro virtual protegido.
- Red virtual de centro de conectividad. Es una red estándar de Azure Virtual Network que usted crea y administra. Cuando hay directivas de seguridad asociadas a este centro de conectividad, se denomina red virtual de centro de conectividad. Actualmente solo se admiten directivas de Azure Firewall. Puede emparejar redes virtuales que contengan los servicios y servidores de su carga de trabajo. También puede administrar firewalls en redes virtuales independientes que no estén emparejadas con ningún radio (spoke) de la topología en estrella.
En cuanto a si utilizar una red virtual de centro de conectividad o un centro virtual protegido, depende del escenario:
- Red virtual de centro de conectividad. Las redes virtuales de centro de conectividad son, probablemente, la opción adecuada si la arquitectura de red se basa solo en redes virtuales, requiere varios centros de conectividad por regiones o no utiliza en absoluto una arquitectura en estrella de tipo hub-and-spoke.
- Centros virtuales protegidos. Pueden satisfacer mejor sus requisitos si necesita administrar directivas de enrutamiento y seguridad en muchos centros de conectividad protegidos distribuidos por todo el mundo. Los centros virtuales protegidos ofrecen conectividad VPN a gran escala, admiten SDWAN y se integran con soluciones de seguridad como servicio de terceros. Puede usar Azure para proteger el perímetro de Internet para los recursos tanto del entorno local como de la nube.
La siguiente tabla de la Figura 2 incluye una comparación que puede ayudarle a tomar una decisión informada:
Red virtual de centro de conectividad | Centro virtual protegido | |
Recurso subyacente | Red virtual | Centro de conectividad de Virtual WAN |
Hub-and-Spoke | Con emparejamiento de red virtual | Automatizada con una conexión de red virtual de centro de conectividad |
Conectividad local |
Instancia de VPN Gateway de hasta 10 Gbps y 30 conexiones S2S; ExpressRoute |
Instancia de VPN Gateway más escalable de hasta 20 Gbps y 1000 conexiones S2S; ExpressRoute |
Conectividad de rama automatizada con SDWAN | No admitido | Admitido |
Centros por región | Varias redes virtuales por región |
Un solo centro virtual por región; varios centros posibles con varias WAN virtuales |
Azure Firewall: varias direcciones IP públicas | Proporcionadas por el cliente | Generadas automáticamente (estará disponible con la disponibilidad general) |
Zonas de disponibilidad de Azure Firewall | Admitido | No disponible en versión preliminar (estará disponible cuando lo esté con carácter general) |
Seguridad avanzada de Internet con asociados de seguridad como servicio |
Conexión VPN establecida y administrada por el cliente con el servicio de un asociado que elija |
Automatizada a través de una experiencia de flujo de asociado de seguridad de confianza y administración de asociado |
Administración de rutas centralizada para atraer el tráfico al centro de conectividad |
UDR administrado por el cliente; hoja de ruta: automatización de la ruta predeterminada de UDR para radios |
Se admite con BGP |
Firewall de aplicaciones web en Application Gateway | Se admite en una red virtual | Hoja de ruta: se puede usar en radios |
Dispositivo virtual de red | Se admite en una red virtual | Hoja de ruta: se puede usar en radios |
Figura 2. Red virtual de centro de conectividad frente a centro virtual protegido
Directiva de firewall
Una directiva de firewall es un recurso de Azure que contiene las colecciones de reglas de aplicación, de red y de traducción de direcciones de red (NAT), así como la configuración de inteligencia sobre amenazas. Se trata de un recurso global que se puede usar en varias instancias de Azure Firewall en centros virtuales protegidos y en redes virtuales de centro de conectividad. Las nuevas directivas se pueden crear desde cero o heredarse de otras directivas. La herencia permite a DevOps crear directivas de firewall locales basadas en una directiva base impuesta por la organización. Las directivas funcionan entre regiones y suscripciones.
Azure Firewall Manager organiza la creación y la asociación de directivas de firewall. Sin embargo, también se puede crear y administrar una directiva con una API REST, plantillas, Azure PowerShell y la CLI.
Una vez que se crea una directiva, se puede asociar a un firewall en un centro de conectividad de Virtual WAN (también conocido como centro virtual protegido) o un firewall en una red virtual (también conocida como red virtual de centro de conectividad).
Las directivas de firewall se facturan por asociaciones de firewall. Una directiva que tenga una o ninguna asociación de firewall es gratuita. Una directiva con varias asociaciones de firewall se factura a una tarifa fija.
Para obtener más información, consulte los precios de Azure Firewall Manager.
En la tabla siguiente se comparan las nuevas directivas de firewall con las reglas de firewall actuales:
Directiva |
Reglas |
|
Contiene |
Reglas NAT, de red y de aplicación, y configuración de inteligencia sobre amenazas |
Reglas NAT, de red y de aplicación |
Protege |
Centros de conectividad virtuales y redes virtuales |
Solo redes virtuales |
Experiencia en el portal |
Administración central con Firewall Manager |
Experiencia de firewall independiente |
Compatibilidad con varios firewalls |
Una directiva de firewall es un recurso independiente que se puede usar en varios firewalls |
Exportación e importación de reglas manualmente o uso de soluciones de administración de terceros |
Precios |
Se factura por asociaciones de firewall; consulte los precios |
Gratis |
Mecanismos de implementación admitidos |
Portal, API REST, plantillas, PowerShell y CLI |
Portal, API REST, plantillas, PowerShell y CLI |
Estado de la versión |
Versión preliminar |
Disponibilidad general |
Figura 3. Directiva de firewall frente a reglas de firewall
Pasos siguientes
Para obtener más información sobre los temas que se tratan aquí, vea los siguientes recursos de blogs, documentación y vídeos:
Asociados de administración central de Azure Firewall:
- AlgoSec CloudFlow
- Barracuda Cloud Security Guardian, ya disponible con carácter general en Azure Marketplace
- Tufin SecureCloud