En esta entrada ha colaborado Suren Jamiyanaa, directora de programas, Redes de Azure
Nos siguen sorprendiendo el nivel de adopción, el interés, los comentarios positivos y el gran número de casos de uso que los clientes están encontrando para nuestros servicio. Hoy nos complace anunciar varias características nuevas de Azure Firewall que responden a los principales comentarios que hemos recibido de los usuarios:
- Certificación de firewall corporativo de ICSA Labs.
- Tunelización forzada, ahora en versión preliminar.
- Grupos IP, ahora en versión preliminar.
- Intervalos de direcciones IP privadas SNAT configurados por el cliente, ya disponibles con carácter general.
- Laxitud en cuanto a la restricción de puertos de intervalo alto, ya disponible con carácter general.
Azure Firewall es una oferta de firewall como servicio (FWaaS) nativo en la nube que permite controlar y registrar de forma centralizada todos los flujos de tráfico usando un enfoque de DevOps. El servicio admite reglas de filtro tanto a nivel de aplicación como a nivel de red y está integrado con la fuente de inteligencia sobre amenazas de Microsoft para filtrar direcciones IP y dominios malintencionados conocidos. Azure Firewall ofrece alta disponibilidad gracias a la escalabilidad automática integrada.
Certificación de firewall corporativo de ICSA Labs
ICSA Labs es un reconocido proveedor de pruebas y certificaciones para terceros de productos de TI de seguridad y sanitarios, así como de dispositivos conectados en red. Su labor consiste en medir el cumplimiento normativo, la confiabilidad y el rendimiento de los productos de la mayoría de los principales proveedores de tecnología.
Azure Firewall es el primer servicio de firewall en la nube que ha obtenido la certificación de firewall corporativo de ICSA Labs. Si desea leer el informe de la certificación de Azure Firewall, puede consultarlo aquí. Para obtener más información, vea la página del programa de certificación de firewalls de ICSA Labs.
Figura 1. Azure Firewall ya tiene la certificación de ICSA Labs.
Tunelización forzada, ahora en versión preliminar
La tunelización forzada permite redirigir todo el tráfico enlazado a Internet de Azure Firewall al firewall de su entorno local o a un dispositivo de red virtual (NVA) cercano para realizar una inspección adicional. De forma predeterminada, no se permite la tunelización forzada en Azure Firewall para asegurar que se cumplan todas las dependencias de Azure de salida.
Para admitir la tunelización forzada, el tráfico de administración de servicios se separa del tráfico del cliente. Es necesaria una subred dedicada adicional denominada AzureFirewallManagementSubnet con su propia dirección IP pública asociada. La única ruta permitida en esta subred es una ruta predeterminada a Internet y la propagación de rutas BGP debe estar deshabilitada.
Con esta configuración, AzureFirewallSubnet ya puede incluir rutas en cualquier firewall del entorno local o de un NVA para procesar el tráfico antes de que se envíe a Internet. También puede publicar estas rutas mediante el protocolo BGP en AzureFirewallSubnet si la propagación de rutas BGP está habilitada en esta subred. Para obtener más información, vea la documentación sobre la tunelización forzada en Azure Firewall .
Figura 2. Creación de un firewall con la tunelización forzada habilitada.
Grupos IP, ahora en versión preliminar
Los grupos IP son un nuevo recurso de Azure de nivel superior que permite agrupar y administrar las direcciones IP con reglas de Azure Firewall. Puede asignar un nombre a un grupo IP y crearlo escribiendo direcciones IP o cargando un archivo. Los grupos IP facilitan la administración y reducen el tiempo empleado en administrar las direcciones IP mediante su uso en un solo firewall o en varios firewalls. Para obtener más información, consulte la documentación sobre los grupos IP en Azure Firewall.
Figura 3. Las reglas de aplicación de Azure Firewall utilizan un grupo IP.
Intervalos de direcciones IP privadas SNAT configurados por el cliente
Azure Firewall proporciona traducción de direcciones de red de origen (SNAT) automática para todo el tráfico de salida a direcciones IP públicas. Azure Firewall no lleva a cabo la traducción SNAT cuando la dirección IP de destino es un intervalo de direcciones IP privadas, conforme a IANA RFC 1918. Si su organización utiliza un intervalo IP público para redes privadas u opta por la tunelización forzada del tráfico de Internet de Azure Firewall a un firewall local, puede configurar Azure Firewall para que no realice la traducción SNAT de intervalos IP personalizados adicionales. Para obtener más información, consulte Intervalos de direcciones IP privadas SNAT de Azure Firewall.
Figura 4. Azure Firewall con intervalos de direcciones IP privadas personalizados.
Laxitud en cuanto a la restricción de puertos de intervalo alto, ya disponible con carácter general
Desde su primera versión preliminar, Azure Firewall tenía una limitación que impedía que las reglas de red y de aplicación incluyeran los puertos de origen o destino por encima de 64000. Este comportamiento predeterminado impedía escenarios basados en RPC y, específicamente, la sincronización de Active Directory. Con esta nueva actualización, los clientes pueden usar cualquier puerto del intervalo 1-65535 en reglas de red y aplicación.
Pasos siguientes
Para obtener más información sobre los temas que se tratan aquí, vea los siguientes recursos de blogs, documentación y vídeos:
- Documentación de Azure Firewall.
- Entrada de blog de Azure Firewall de julio de 2019: Novedades de Azure Firewall.
- Documentación de Azure Firewall Manager.
- Blog de Azure Firewall Manager: Azure Firewall Manager ya admite redes virtuales.
Asociados de administración central de Azure Firewall:
- AlgoSec CloudFlow.
- Barracuda Cloud Security Guardian, ya disponible con carácter general en Azure Marketplace.
- Tufin SecureCloud.