Nuevas características de Azure Firewall en el segundo trimestre de 2020

Publicado el 30 junio, 2020

Program Manager

Nos complace anunciar varias características nuevas de Azure Firewall que ofrecen a su organización más seguridad, más capacidad de personalización y más facilidad de administración de las reglas. Estas nuevas características se han agregado en respuesta a los comentarios más destacados de los usuarios:

  • Compatibilidad con DNS personalizados ya en versión preliminar.
  • Compatibilidad con servidores proxy de DNS ya en versión preliminar.
  • Filtrado por FQDN en las reglas de red ya en versión preliminar.
  • Grupos de IP ya disponibles con carácter general.
  • Etiqueta FQDN en AKS ya disponible con carácter general.
  • Azure Firewall ya es conforme a la norma HIPAA. 

Además, a principios de junio de 2020, anunciamos que la tunelización forzada de Azure Firewall y el filtrado por FQDN de SQL ya están disponibles con carácter general.

Azure Firewall es una oferta de firewall como servicio (FWaaS) nativo de nube que permite controlar y registrar de forma centralizada todos los flujos de tráfico usando un enfoque de DevOps. El servicio admite reglas de filtro tanto a nivel de aplicación como a nivel de red y está integrado con la fuente de inteligencia sobre amenazas de Microsoft para filtrar direcciones IP y dominios malintencionados conocidos. Azure Firewall ofrece alta disponibilidad gracias a la escalabilidad automática integrada.

Compatibilidad con DNS personalizados ya en versión preliminar

Desde su lanzamiento en septiembre de 2018, Azure Firewall se ha codificado de forma rígida para usar Azure DNS con el fin de asegurar que el servicio pueda resolver de forma confiable sus dependencias de salida. Un DNS personalizado permite separar la resolución de nombres del cliente y del servicio. Por tanto, puede configurar Azure Firewall para que use su propio servidor DNS y asegurar que las dependencias de salida del firewall se sigan resolviendo en Azure DNS. Puede especificar un solo servidor DNS o varios servidores en la configuración de DNS de Azure Firewall y de la directiva de firewall.

Azure Firewall también puede resolver nombres con Azure Private DNS, siempre y cuando la zona DNS privada esté vinculada a la red virtual del firewall.

Proxy DNS ya en versión preliminar

Con el proxy DNS habilitado, las consultas de DNS de salida se procesan en Azure Firewall, que inicia una nueva consulta de resolución de DNS en el servidor DNS personalizado o en Azure DNS. Esto es fundamental para disponer de un filtrado por FQDN confiable en las reglas de red. Puede configurar el proxy DNS en la configuración de DNS de Azure Firewall y de la directiva de firewall. 

La configuración del proxy DNS requiere tres pasos:

  1. Habilitar el proxy DNS en la configuración de DNS de Azure Firewall.
  2. Opcionalmente, configurar un servidor DNS personalizado o usar el predeterminado.
  3. Por último, debe configurar la dirección IP privada de Azure Firewall como un servidor DNS personalizado en la configuración de servidor DNS de la red virtual. Esto asegura que el tráfico DNS se dirija a Azure Firewall.

  Firewall1
Figura 1. Configuración de un DNS personalizado y un proxy DNS en Azure Firewall.

Filtrado por FQDN en las reglas de red ya en versión preliminar

Ahora puede usar nombres de dominio completos (FQDN) en las reglas de red basadas en la resolución de DNS en Azure Firewall y en la directiva de firewall. Los nombres FQDN especificados en las colecciones de reglas se traducen a direcciones IP según la configuración de DNS del firewall. Esta funcionalidad permite filtrar el tráfico saliente por FQDN con cualquier protocolo TCP/UDP (incluidos NTP, SSH, RDP, etc.). Puesto que esta funcionalidad se basa en la resolución de DNS, es muy recomendable habilitar el proxy DNS para asegurarse de que la resolución de nombres es coherente entre las máquinas virtuales protegidas y el firewall.

El filtrado por FQDN en las reglas de aplicación para HTTP/S y MSSQL se basa en un proxy transparente a nivel de aplicación. Como tal, puede discernir entre dos nombres FQDN que se resuelven en la misma dirección IP. No ocurre así con el filtrado por FQDN en las reglas de red, por lo que se recomienda usar reglas de aplicación siempre que sea posible.

 firewall2
Figura 2. Filtrado por FQDN en reglas de red.

Grupos de IP ya disponibles con carácter general

Los grupos de IP son un nuevo recurso de Azure de nivel superior que permite agrupar y administrar las direcciones IP con reglas de Azure Firewall. Puede asignar un nombre a un grupo IP y crearlo escribiendo direcciones IP o cargando un archivo. Los grupos IP facilitan la administración y reducen el tiempo empleado en administrar las direcciones IP mediante su uso en un solo firewall o en varios firewalls. Los grupos de IP ya están disponibles con carácter general y se admiten en una configuración de Azure Firewall independiente o como parte de la directiva de Azure Firewall. Para obtener más información, consulte la documentación sobre los grupos IP en Azure Firewall.

firewall4

Figura 3. Creación de un grupo de IP nuevo.

Etiqueta FQDN en AKS ya disponible con carácter general

Ahora se puede usar una etiqueta FQDN de Azure Kubernetes Service (AKS) en reglas de aplicación de Azure Firewall con el fin de simplificar la configuración del firewall para la protección de AKS. Azure Kubernetes Service (AKS) ofrece un clúster de Kubernetes administrado en Azure que reduce la complejidad y la sobrecarga operativa de la administración de Kubernetes al descargar gran parte de esa responsabilidad en Azure.

Para fines operativos y de administración, los nodos de un clúster de AKS deben tener acceso a determinados puertos y nombres FQDN. Para obtener más información sobre cómo agregar protección a un clúster de Azure Kubernetes con Azure Firewall, consulte Uso de Azure Firewall para proteger implementaciones de Azure Kubernetes Service (AKS)

firewall44
  Figura 4. Configuración de una regla de aplicación con la etiqueta FQDN de AKS.

Pasos siguientes

Si desea obtener más información sobre todo lo que se trata aquí, consulte estos recursos adicionales: