Funzionalità da Next-Generation Firewall con Azure Firewall Premium

L’adozione di una efficace strategia di protezione dell’ambiente Azure è fondamentale e richiede anche una attenta valutazione delle funzionalità erogate dalla soluzione firewall che si intende utilizzare. Da tempo è disponibile Azure Firewall, il servizio gestito e totalmente integrato nel cloud pubblico di Microsoft, che consente di mettere in sicurezza le risorse presenti sulle Virtual Network di Azure. In specifiche realtà aziendali, particolarmente sensibili alla sicurezza e che necessitano di un elevato livello di regolamentazione, sono necessarie funzionalità avanzate tipiche di un next generation firewall. Per questa ragione Microsoft ha rilasciato Azure Firewall Premium, la soluzione di firewall-as-a-service (FWaaS) che garantisce diverse funzionalità avanzate per proteggere al meglio gli ambienti Azure. In questo articolo vengono approfondite le caratteristiche di Azure Firewall Premium.

Azure Firewall è un servizio di sicurezza di rete, gestito e basato su cloud, in grado di proteggere le risorse attestate sulle Virtual Network di Azure e di governare in modo centralizzato i relativi flussi di rete. Inoltre, ha funzionalità intrinseche di alta disponibilità e di scalabilità.

La versione Premium permette di ottenere un livello di protezione ulteriore dalle minacce di sicurezza, mediante funzionalità come TLS Inspection e IDPS che garantiscono un maggior controllo del traffico di rete al fine di intercettare e bloccare la diffusione di malware e virus. Le funzionalità di TLS Inspection e IDPS richiedono maggiori prestazioni, motivo per il quale Azure Firewall Premium, rispetto alla tier Standard, utilizza SKU più potenti per le proprie istanze ed è in grado di garantire elevati livelli di performance. Come lo SKU Standard, lo SKU Premium può scalare fino a 30 Gbps e si integra con le availability zones per garantire un service level agreement (SLA) pari al 99,99 percento. Azure Firewall ha ottenuto la certificazione ICSA Labs, inoltre la versione Premium è conforme allo standard di sicurezza PCI DSS (Payment Card Industry Data Security Standard).

Le funzionalità di Azure Firewall Premium

Le nuove funzionalità di Azure Firewall Premium sono configurabili esclusivamente tramite Firewall Policy. Le regole del firewall in modalità “classic” continuano ad essere supportate e possono essere utilizzate solamente per configurare la versione Standard di Azure Firewall. Le Firewall Policy possono essere gestite in modo indipendente oppure con Azure Firewall Manager.

Azure Firewall Premium garantisce tutte le funzionalità presenti nel tier Standard di Azure Firewall e in più aggiunge le seguenti funzionalità tipiche di un next generation firewall.

Figura 1 – Panoramica di Azure Firewall Premium

Nei capitoli seguenti vengono riportate le nuove funzionalità introdotte in Azure Firewall Premium.

TLS inspection

La tecnologia di sicurezza standard che consente di stabilire un collegamento crittografato tra un client ed un server è il Transport Layer Security (TLS), precedentemente noto come Secure Sockets Layer (SSL). Questo standard garantisce che tutti i dati che transitano tra i client ed il server rimangano privati e crittografati. Azure Firewall Premium è in grado di intercettare ed ispezionare le connessioni TLS. Per farlo viene effettuata una de-crittografia completa delle comunicazioni di rete, vengono eseguiti i controlli di sicurezza necessari e viene crittografato nuovamente il traffico che deve essere inviato alla destinazione.

La soluzione TLS Inspection di Azure Firewall Premium risulta ideale per i seguenti casi d’uso:

  • Terminazione TLS in uscita.

Figura 2 – TLS Inspection di Azure Firewall per il traffico in uscita

  • Terminazione TLS tra virtual network di spoke (est-ovest).
  • Terminazione TLS in ingresso con Application Gateway. Nei flussi di comunicazione Azure Firewall può essere distribuito dietro ad un Application Gateway. Adottando questa configurazione, il traffico Web in ingresso passa sia attraverso il WAF dell’Application Gateway sia attraverso il firewall di Azure. Il WAF fornisce una protezione a livello di applicazione Web, mentre Azure Firewall funge da punto centrale di controllo e di registrazione per ispezionare il traffico tra l’Application Gateway e i server di back-end. L’Azure Firewall può infatti de-crittografare il traffico ricevuto dall’Application Gateway per un’ulteriore ispezione e crittografarlo nuovamente prima di inoltrarlo al Web server di destinazione. Per maggiori dettagli su codesto caso d’uso è possibile consultare questo documento Microsoft.

Figura 3 – Implementazione dell’Application Gateway prima dell’Azure Firewall

Per abilitare la TLS Inspection in Azure Firewall Premium è opportuno utilizzare un certificato presente in un Azure Key Vault. L’accesso di Azure Firewall verso il key vault per recuperare i certificati avviene utilizzando una managed identity. Per maggiori informazioni in merito all’utilizzo dei certificati, per questa funzionalità di Azure Firewall Premium, è possibile consultare la documentazione ufficiale Microsoft.

Questi casi d’uso consentono ai clienti di adottare un modello zero trust e di implementare una segmentazione della rete tramite crittografia end-to-end.

IDPS

Un Intrusion Detection and Prevention system (IDPS) di rete consente di monitorare le attività di rete per rilevare quelle dannose, registrare informazioni su queste attività, segnalarle e, facoltativamente, tentare di bloccarle. Azure Firewall Premium fornisce IDPS basato sulle firme ed è in grado di consentire il rilevamento degli attacchi cercando pattern specifici, come sequenze di byte nel traffico di rete oppure sequenze di istruzioni dannose note utilizzate dai malware. Le firme IDPS sono automaticamente gestite e continuamente aggiornate.

Questa capacità funziona per tutte le porte ed i protocolli, ma nonostante alcuni rilevamenti possono essere eseguiti anche con il traffico crittografato, l’abilitazione della TLS Inspection è importante per utilizzare al meglio l’IDPS.

Figura 4 – Modalità dell’IDPS

URL filtering

La funzionalità di URL filtering permette di filtrare l’accesso in uscita verso specifici URL, e non solo per determinati FQDN. Vengono infatti estese la capacità di filtro FQDN di Azure Firewall per considerare un intero URL. Ad esempio, www.microsoft.com/a/b anziché solo www.microsoft.com. Questa funzionalità è efficace anche per il traffico crittografato se la TLS Inspection è abilitata.

L’URL filtering può anche essere utilizzata insieme alla categorizzazione Web per estendere una determinata categoria aggiungendo più URL in modo esplicito oppure per consentire/negare l’accesso agli URL all’interno della intranet dell’organizzazione.

Figura 5 – URL filtering nelle application rules

Categorizzazione Web

La categorizzazione Web nei criteri di Azure Firewall permette di consentire oppure negare l’accesso degli utenti a Internet in base a specifiche categorie, come ad esempio, social network, motori di ricerca, giochi d’azzardo, etc.

Questa funzionalità è possibile usarla come tipologia di destinazione nelle application rules nelle SKU sia Standard sia Premium di Azure Firewall. La differenza principale è che lo SKU Premium permette di ottenere un livello maggiore di ottimizzazione, classificando il traffico in base all’URL completo, tramite la funzionalità di TLS Inspection, mentre lo SKU standard classifica il traffico solamente in base all’FQDN. Questa funzione permette di avere la visibilità ed il controllo nell’utilizzo del traffico Internet di un’organizzazione ed è ideale per controllare la navigazione web per i client Azure Virtual Desktop.

Figura 6 – Categorizzazione Web in una regola di accesso

Il passaggio dalla versione Standard alla versione Premium

Per coloro che utilizzano lo SKU Standard di Azure Firewall e che necessitano di passare allo SKU Premium possono effettuare la migrazione mediante i seguenti step.

  • Come prima cosa, nel caso non siano già in uso, è necessario adottare le Azure Firewall Policy. Per farlo è possibile effettuare la trasformazione delle Azure Firewall rules (Classic) esistenti:

Figura 7 – Migrazione delle classic rule verso le Azure Firewall Policy

  • Creare un nuovo Azure Firewall Premium associandolo all’Azure Firewall Policy esistente:

Figura 8 – Creazione di un nuovo Azure Firewall Premium associando una Azure Policy esistente

NOTA: un aspetto importante da tenere in considerazione nella migrazione è il mantenimento dell’indirizzo IP oppure degli indirizzi IP assegnati ad Azure Firewall.

Il costo di Azure Firewall Premium

Come per lo SKU Standard, i prezzi di Azure Firewall Premium sono dati sia dal deployment, sia dall’elaborazione dei dati. Il costo per il deployment è superiore di circa il 40% rispetto ad Azure Firewall Standard, mentre i costi per l’elaborazione dei dati sono gli stessi previsti per Azure Firewall Standard. Per maggiori dettagli sui costi è possibile consultare la pagina ufficiale Microsoft.

Conclusioni

L’adozione di una soluzione firewall per proteggere e segregare al meglio i flussi di rete è una scelta ormai obbligata per garantire una protezione ed una gestione efficace dell’infrastruttura network in ambienti Azure. Per le realtà aziendali con esigenze avanzate di controllo e di sicurezza possono utilizzare la SKU Premium di Azure Firewall per ampliare il set di funzionalità a disposizione. Azure Firewall Premium può competere, in termini di funzionalità, con Network Virtual Appliances (NVAs) fornite dai vendor di terze parti più noti, per le quali sono però necessarie configurazioni più articolate e sono previsti costi tendenzialmente superiori.

Please follow and like us: