Omitir navegación

Nuevas características de DNS mejoradas en Azure Firewall disponibles con carácter general

Publicado el 9 noviembre, 2020

Program Manager, Azure Networking

En esta entrada ha colaborado Adam Stuart, especialista técnico de Redes de Azure.

Las características de DNS personalizado, proxy DNS y filtrado por FQDN en reglas de red (para protocolos que no son HTTP/S ni MSSQL) ya están disponibles con carácter general en Azure Firewall. En esta entrada de blog, incluimos también un ejemplo de caso de uso de un proxy DNS con Private Link

Azure Firewall es una oferta de firewall como servicio (FWaaS) nativo de nube que permite controlar y registrar de forma centralizada todos los flujos de tráfico usando un enfoque de DevOps. El servicio admite filtros a nivel de aplicación, de NAT y de red, y está integrado con la fuente de inteligencia sobre amenazas de Microsoft para filtrar direcciones IP y dominios malintencionados conocidos. Azure Firewall ofrece alta disponibilidad gracias a la escalabilidad automática integrada.

Disponibilidad general de la compatibilidad con DNS personalizados

Desde su lanzamiento en septiembre de 2018, Azure Firewall se ha codificado de forma rígida para usar Azure DNS con el fin de asegurar que el servicio pueda resolver de forma confiable sus dependencias de salida. La opción de DNS personalizado le permite configurar Azure Firewall para que use su propio servidor DNS y asegurar que las dependencias de salida del firewall se sigan resolviendo en Azure DNS. Puede especificar un solo servidor DNS o varios servidores en la configuración de DNS de Azure Firewall y de la directiva de firewall.

Azure Firewall también puede resolver nombres con el servicio DNS privado de Azure. La red virtual donde reside la instancia de Azure Firewall debe estar vinculada a la zona privada de Azure.

Disponibilidad general de la opción de proxy DNS

Con la opción de proxy DNS habilitada, Azure Firewall puede procesar y reenviar consultas de DNS desde una red virtual al servidor DNS que desee. Esta funcionalidad es fundamental y necesaria para tener un filtrado por FQDN confiable en las reglas de red. Puede habilitar el proxy DNS en la configuración de la directiva de firewall y de Azure Firewall. Si desea obtener más información sobre los registros del proxy DNS, consulte la documentación sobre métricas y registros de Azure Firewall.

La configuración del proxy DNS requiere tres pasos:

  1. Habilitar el proxy DNS en la configuración de DNS de Azure Firewall.
  2. Opcionalmente, configurar un servidor DNS personalizado o usar el predeterminado.
  3. Por último, debe configurar la dirección IP privada de Azure Firewall como un servidor DNS personalizado en la configuración del servidor DNS de la red virtual. Esto asegura que el tráfico DNS se dirija a Azure Firewall.

El proxy DNS escucha las solicitudes en el puerto TCP 53 y las reenvía a Azure DNS o al servidor DNS personalizado que haya especificado.

Configuración de un DNS personalizado y un proxy DNS en Azure Firewall.

Figura 1. Configuración de un DNS personalizado y un proxy DNS en Azure Firewall.

Disponibilidad general del filtrado por FQDN en las reglas de red

Ahora puede usar nombres de dominio completos (FQDN) en las reglas de red basadas en la resolución de DNS en Azure Firewall y en la directiva de firewall. Los nombres FQDN especificados en las colecciones de reglas se traducen a direcciones IP según la configuración de DNS del firewall. Esta funcionalidad permite filtrar el tráfico saliente por FQDN con cualquier protocolo TCP/UDP (incluidos NTP, SSH, RDP, etc.). Puesto que esta funcionalidad se basa en la resolución de DNS, es muy recomendable habilitar el proxy DNS para asegurarse de que la resolución de nombres sea coherente entre las máquinas virtuales protegidas y el firewall.

¿Qué diferencia hay entre el filtrado por FQDN en las reglas de aplicación y en las reglas de red

El filtrado por FQDN en las reglas de aplicación para HTTP/S y MSSQL se basa en un proxy transparente a nivel de aplicación. Como tal, puede discernir entre dos nombres FQDN que se resuelven en la misma dirección IP. No ocurre así con el filtrado por FQDN en las reglas de red, por lo que se recomienda usar reglas de aplicación siempre que sea posible.

Filtrado por FQDN en reglas de red.

Figura 2. Filtrado por FQDN en reglas de red.

Uso de Azure Firewall como proxy DNS para habilitar el acceso desde el entorno local a través de puntos de conexión privados

Azure Private Link permite la conexión a los servicios PaaS de Microsoft, incluidas las cuentas de almacenamiento, los servicios de aplicaciones, etc., a través de una conexión privada, usando puntos de conexión privados. Un punto de conexión privado es una interfaz de red que le conecta de forma privada y segura a un servicio PaaS basado en Azure Private Link. Los puntos de conexión privados usan una dirección IP privada de su red virtual (VNet). De este modo, integran el servicio en su red privada en la nube. Este enfoque aporta ventajas de seguridad adicionales, puesto que elimina la exposición y la accesibilidad de las direcciones IP públicas del servicio PaaS.

Una de las grandes ventajas de Azure Private Link es la capacidad de consumir servicios PaaS de Microsoft a través de conexiones híbridas con direcciones privadas (por ejemplo, el emparejamiento privado de Azure ExpressRoute o las redes VPN de sitio a sitio). Sin embargo, esta ventaja también conlleva la dificultad de reenviar las solicitudes de DNS del entorno local al servicio DNS privado de Azure, con el fin de aprovechar la administración automatizada del ciclo de vida de los registros de DNS que se asignan a los puntos de conexión privados.

Cada servicio PaaS de Azure que use Private Link obtiene un FQDN que se asigna y se almacena en una zona de Azure Private DNS Zones. Las solicitudes enviadas a Azure DNS Private Zones van a la dirección 168.63.129.16 de la plataforma, a la que solo se puede acceder desde dentro de Azure. Por tanto, si una solicitud de DNS se origina en el entorno local (fuera de Azure), hay un requisito por el que dicha solicitud debe redirigirse mediante proxy a través de un servicio que esté dentro de una red virtual.

Con este anuncio de la disponibilidad general, el proxy DNS de Azure Firewall es una opción para cumplir este requisito de reenvío de DNS, aplicable con un modelo en estrella tipo hub-and-spoke. Para ello, configure el servidor DNS del entorno local para que reenvíe las solicitudes de forma condicional a Azure Firewall para el nombre de zona requerido. Asegúrese de que la zona DNS privada está vinculada a la red virtual donde se encuentra Azure Firewall. Configure Azure Firewall para que use la instancia de Azure DNS predeterminada para las búsquedas, y habilite el proxy DNS en la configuración de DNS de Azure Firewall. Si desea obtener más información sobre el proxy DNS, visite la documentación sobre la configuración de DNS.

Pasos siguientes

Para obtener más información sobre todo lo que se trata en esta entrada de blog, consulte los siguientes recursos:

Regístrese ahora para asistir al evento digital sobre seguridad de red de Azure y obtener más información sobre Azure Firewall y sobre cómo utilizar un enfoque de Confianza cero para proteger la red y protegerse frente a ataques de ciberseguridad.