Azure Firewall Manager ya admite redes virtuales

Publicado el 18 febrero, 2020

Senior Program Manager

En esta entrada ha colaborado Yair Tor, director principal de programas, Redes de Azure.

El pasado mes de noviembre presentamos la versión preliminar de Microsoft Azure Firewall Manager para la administración de rutas y directivas de Azure Firewall en centros virtuales protegidos. Esto incluía también la integración con asociados de seguridad como servicio fundamentales: Zscaler, iboss y, próximamente, Check Point. Estos asociados sustentan escenarios de rama a Internet y de red virtual a Internet.

Hoy ampliamos la versión preliminar de Azure Firewall Manager para incluir la implementación automática y la administración central de directivas de seguridad para Azure Firewall en redes virtuales de centro de conectividad.

Azure Firewall Manager (en versión preliminar) es un servicio de administración de la seguridad de red que proporciona administración central de directivas de seguridad y rutas para perímetros de seguridad basados en la nube. Permite a los equipos de TI de una empresa definir fácilmente y de forma centralizada reglas a nivel de red y de aplicación para filtrar el tráfico de varias instancias de Azure Firewall, que abarquen diferentes regiones y suscripciones de Azure en arquitecturas en estrella de tipo hub-and-spoke, con fines de gobernanza y protección del tráfico. Además, favorece la metodología DevOps para mejorar la agilidad con directivas de seguridad de firewall locales derivadas que se implementan en las organizaciones.

Si desea obtener más información, consulte la documentación de Azure Firewall Manager.

Página de introducción de Azure Firewall Manager

Figura 1. Página de introducción de Azure Firewall Manager

 

Redes virtuales de centro de conectividad y centros virtuales protegidos

Azure Firewall Manager puede proporcionar administración de la seguridad para dos tipos de arquitectura de red:

  •  Red virtual de centro de conectividad. Es una red estándar de Azure Virtual Network que usted crea y administra. Cuando hay directivas de seguridad asociadas a este centro de conectividad, se denomina red virtual de centro de conectividad. Actualmente solo se admiten directivas de Azure Firewall. Puede emparejar redes virtuales que contengan los servicios y servidores de su carga de trabajo. También puede administrar firewalls en redes virtuales independientes que no estén emparejadas con ningún radio (spoke) de la topología en estrella.

En cuanto a si utilizar una red virtual de centro de conectividad o un centro virtual protegido, depende del escenario:

  •  Red virtual de centro de conectividad. Las redes virtuales de centro de conectividad son, probablemente, la opción adecuada si la arquitectura de red se basa solo en redes virtuales, requiere varios centros de conectividad por regiones o no utiliza en absoluto una arquitectura en estrella de tipo hub-and-spoke.
  •  Centros virtuales protegidos. Pueden satisfacer mejor sus requisitos si necesita administrar directivas de enrutamiento y seguridad en muchos centros de conectividad protegidos distribuidos por todo el mundo. Los centros virtuales protegidos ofrecen conectividad VPN a gran escala, admiten SDWAN y se integran con soluciones de seguridad como servicio de terceros. Puede usar Azure para proteger el perímetro de Internet para los recursos tanto del entorno local como de la nube.

La siguiente tabla de la Figura 2 incluye una comparación que puede ayudarle a tomar una decisión informada:

 

  Red virtual de centro de conectividad Centro virtual protegido
Recurso subyacente Red virtual Centro de conectividad de Virtual WAN
Hub-and-Spoke Con emparejamiento de red virtual Automatizada con una conexión de red virtual de centro de conectividad
Conectividad local

Instancia de VPN Gateway de hasta 10 Gbps y 30 conexiones S2S; ExpressRoute

Instancia de VPN Gateway más escalable de hasta 20 Gbps y 1000 conexiones S2S; ExpressRoute

Conectividad de rama automatizada con SDWAN No admitido Admitido
Centros por región Varias redes virtuales por región

Un solo centro virtual por región; varios centros posibles con varias WAN virtuales

Azure Firewall: varias direcciones IP públicas Proporcionadas por el cliente Generadas automáticamente (estará disponible con la disponibilidad general)
Zonas de disponibilidad de Azure Firewall Admitido No disponible en versión preliminar (estará disponible cuando lo esté con carácter general) 

Seguridad avanzada de Internet con asociados de seguridad como servicio

Conexión VPN establecida y administrada por el cliente con el servicio de un asociado que elija

Automatizada a través de una experiencia de flujo de asociado de seguridad de confianza y administración de asociado

Administración de rutas centralizada para atraer el tráfico al centro de conectividad

UDR administrado por el cliente; hoja de ruta: automatización de la ruta predeterminada de UDR para radios

Se admite con BGP
Firewall de aplicaciones web en Application Gateway Se admite en una red virtual Hoja de ruta: se puede usar en radios
Dispositivo virtual de red Se admite en una red virtual Hoja de ruta: se puede usar en radios

Figura 2. Red virtual de centro de conectividad frente a centro virtual protegido

Directiva de firewall

Una directiva de firewall es un recurso de Azure que contiene las colecciones de reglas de aplicación, de red y de traducción de direcciones de red (NAT), así como la configuración de inteligencia sobre amenazas. Se trata de un recurso global que se puede usar en varias instancias de Azure Firewall en centros virtuales protegidos y en redes virtuales de centro de conectividad. Las nuevas directivas se pueden crear desde cero o heredarse de otras directivas. La herencia permite a DevOps crear directivas de firewall locales basadas en una directiva base impuesta por la organización. Las directivas funcionan entre regiones y suscripciones.

Azure Firewall Manager organiza la creación y la asociación de directivas de firewall. Sin embargo, también se puede crear y administrar una directiva con una API REST, plantillas, Azure PowerShell y la CLI.

Una vez que se crea una directiva, se puede asociar a un firewall en un centro de conectividad de Virtual WAN (también conocido como centro virtual protegido) o un firewall en una red virtual (también conocida como red virtual de centro de conectividad).

Las directivas de firewall se facturan por asociaciones de firewall. Una directiva que tenga una o ninguna asociación de firewall es gratuita. Una directiva con varias asociaciones de firewall se factura a una tarifa fija.

Para obtener más información, consulte los precios de Azure Firewall Manager.

En la tabla siguiente se comparan las nuevas directivas de firewall con las reglas de firewall actuales:

 

Directiva

Reglas

Contiene

Reglas NAT, de red y de aplicación, y configuración de inteligencia sobre amenazas

Reglas NAT, de red y de aplicación

Protege

Centros de conectividad virtuales y redes virtuales

Solo redes virtuales

Experiencia en el portal

Administración central con Firewall Manager

Experiencia de firewall independiente

Compatibilidad con varios firewalls

Una directiva de firewall es un recurso independiente que se puede usar en varios firewalls

Exportación e importación de reglas manualmente o uso de soluciones de administración de terceros

Precios

Se factura por asociaciones de firewall; consulte los precios

Gratis

Mecanismos de implementación admitidos

Portal, API REST, plantillas, PowerShell y CLI

Portal, API REST, plantillas, PowerShell y CLI

Estado de la versión

Versión preliminar

Disponibilidad general

Figura 3. Directiva de firewall frente a reglas de firewall

Pasos siguientes

Para obtener más información sobre los temas que se tratan aquí, vea los siguientes recursos de blogs, documentación y vídeos:

Asociados de administración central de Azure Firewall: