Firewalls de Azure

Para protegerse de las crecientes ciberamenazas, se recomienda a los clientes de Azure que instalen algún tipo de firewall. Aunque los diferentes tipos de Azure Firewalls realizan distintas funciones dentro de la nube de Microsoft, principalmente actúan como monitores de las interacciones entre una sección específica de la nube pública y el resto de internet. Al filtrar paquetes y solicitudes, estos Firewalls pueden bloquear que el software malicioso acceda a aplicaciones, datos o incluso a la red misma. El Microsoft Azure Marketplace vende firewalls que, por lo general, se dividen en dos categorías: Web Application Firewalls y firewalls de red. Microsoft Azure es una plataforma de servicios de nube pública que admite una amplia gama de sistemas operativos, lenguajes de programación, frameworks, herramientas, bases de datos y dispositivos. Al igual que otras implementaciones en la nube, Azure utiliza un modelo de seguridad compartido que se explica mejor en el informe técnico de Microsoft titulado Responsabilidades compartidas para la computación en la nube. En resumen, Microsoft es responsable de la seguridad de la infraestructura que mantiene la nube, mientras que los clientes son responsables de sus propios datos y aplicaciones que utilizan dicha infraestructura. Ser responsables de su propia propiedad digital significa que los clientes están obligados a tomar medidas adicionales para proteger sus datos, aplicaciones y redes.

Azure Web Application Firewalls

Instalar un Web Application Firewall es una medida importante que debe tomar cualquier empresa o incluso individuo para proteger las aplicaciones en Azure. Los WAF en la nube se sitúan delante de una aplicación web y monitorizan todas las interacciones con internet. A medida que los paquetes provienen de los usuarios, o incluso de otras aplicaciones, se filtran para que ningún software malicioso pueda llegar a la aplicación en sí. Actualmente, Microsoft Azure tiene su propio firewall nativo, pero la mayoría de las empresas optan por Web Application Firewall de terceros que ofrecen funciones mejor adaptadas a sus necesidades.

Un web application firewall potente y robusto debe tener las siguientes funciones:

• Filtrado de tráfico: el filtrado de tráfico es una de las operaciones más prácticas e importantes que realiza un Firewall de aplicaciones web. Al filtrar el tráfico en función de factores como encabezados HTTP, palabras clave, direcciones IP e incluso cadenas de URI, el web application firewall puede evitar interacciones dañinas antes de que lleguen a una aplicación.
• Protección de scripts: a medida que más aplicaciones se trasladan a la nube pública, los ciberdelincuentes están encontrando formas más sencillas de automatizar sus ataques contra un espectro más amplio de objetivos. Al generar herramientas o scripts que puedan sondear y atacar continuamente aplicaciones vulnerables, pueden ampliar su alcance entre las miles de aplicaciones que se ejecutan en la nube pública de Azure. Aunque los ataques como la inyección de SQL o el cross-site scripting pueden personalizarse una vez que se detectan las vulnerabilidades, a menudo se envían aleatoriamente por Internet en busca de aplicaciones desprotegidas. Como mínimo, un firewall de aplicaciones web debería proteger fácilmente contra estos scripts de ataque no personalizados.
• Protección y seguridad de las API: las aplicaciones basadas en la nube son la norma hoy en día, lo que significa que las API son necesarias para casi cualquier aplicación con el fin de facilitar las interacciones. Un WAF competente debería poder proteger las API de su aplicación en Azure contra todo tipo de ataques basados en API, como el farming o el scraping de API.
• Entrega segura: las soluciones WAF modernas pueden garantizar que tu aplicación se entregue de manera segura a través de HTTPS. Es obligatorio proporcionar una aplicación HTTPS para la mayoría de los servicios modernos; nadie quiere que sus datos queden expuestos si se puede evitar.
• Conjuntos de reglas personalizados: los WAF comienzan utilizando lo que se denomina un CRS o Conjunto de Reglas Básico. Aunque un CRS (y existen varias versiones) protegerá contra la mayoría de los ataques principales de OWASP y otras amenazas, muchas empresas descubren que necesitan (o ya han desarrollado) reglas personalizadas específicas además del CRS, generalmente adaptadas a aplicaciones y grupos de usuarios específicos. Para implementar estas aplicaciones en la nube, estas empresas deben replicar sus conjuntos de reglas personalizados, algo que los WAF que solo ofrecen el CRS no pueden ofrecer.

Firewalls de red de Azure

Los network firewalls en Azure son el equivalente centrado en la red para el reconocimiento y la protección de aplicaciones que proporcionan los Web Application Firewall. Las empresas que utilizan Azure para aplicaciones críticas para la misión, o para proporcionar acceso remoto seguro a estas aplicaciones para sus usuarios, implementarán un firewall de red. Un verdadero firewall de red de Azure debe aprovechar todas las funciones integradas de Azure y ofrecer un modelo de licencias que funcione con cualquier organización, evitando que se le cobre de más por la protección que no necesita. Además, deben integrarse con el conjunto completo de capacidades de gestión, supervisión y automatización integradas en las infraestructuras de nube pública de Azure.

Un firewall de red estándar de Azure debe tener las siguientes funciones:

• Gestión de identidades y accesos: como en cualquier sistema de seguridad en la nube, es vital contar con una gestión sólida de la autenticación y el acceso para restringir el acceso a la red. Sin la gestión de identidades, los cibercriminales podrían hacerse pasar por usuarios legítimos y acceder a datos o aplicaciones sensibles.
• Protección de puntos de entrada: el uso de la nube pública implica que a menudo existen numerosos puntos de acceso para que los usuarios interactúen con la red. Debido a esto, es importante contar con un perímetro de red seguro que supervise el tráfico que intenta acceder a la red. Sin la protección adecuada, estos puntos de entrada pueden verse comprometidos, muchas veces sin que ni siquiera te enteres.
• Modelo económico modular: al igual que la mayoría de los productos SaaS modernos, es importante que existan varias opciones de licencia disponibles que ofrezcan flexibilidad a distintas organizaciones con diversas necesidades. El escalado basado en el tráfico de red te permite pagar solo por el tráfico que utilizas; este nivel de granularidad de pago significa que las pequeñas empresas pueden contar con las mismas funciones que las grandes empresas.
• Alta disponibilidad: el firewall que elijas debería ser capaz de implementar un gran número de instancias de servidor en varias regiones, manteniendo al mismo tiempo un alto estándar de rendimiento. Una de las ventajas de utilizar un servicio en la nube como Azure es que tendrás acceso a centros de datos en todo el mundo. Pero, si la seguridad de la red está comprometida o sobrecargada, esa ventaja geográfica ya no es relevante.
• Compatibilidad con VPN: una de las ventajas de las plataformas en la nube es que los empleados pueden acceder a los datos desde varios dispositivos, tanto en las instalaciones como, lo que es más importante, cuando trabajan de forma remota. Un firewall de red de Azure eficaz debe ser capaz de integrarse directamente con las VPN y ofrecer un acceso optimizado y seguro a los recursos en la nube para los usuarios que utilicen cualquier tipo de dispositivo.
• Funciones de SD-WAN: SD-WAN se ha convertido en un elemento imprescindible para las organizaciones debido a su gran ahorro de costes cuando se utiliza adecuadamente en lugar de la infraestructura MPLS tradicional. Muchos firewalls de red modernos ofrecen Funciones de SD-WAN integradas, por lo que puedes tener la seguridad de red de los firewalls de red tradicionales con la capacidad de enrutar el tráfico de manera económica a través de una red extendida.
• Compatibilidad con Virtual WAN: Microsoft Azure tiene centros de datos en muchas ubicaciones de todo el mundo y ofrece una capacidad atractiva para aprovechar estos centros de datos como una WAN virtual. Esto se convierte en una red extendida, similar a una SW-WAN, pero también requiere una protección de firewall de red similar. Un firewall de red eficaz de Azure debe ser tener en cuenta la WAN virtual y tener una integración simplificada.

Los servicios en la nube son fundamentales para la infraestructura y el almacenamiento de internet; esto requiere soluciones de seguridad robustas que se centren en la operatividad y la fiabilidad. Los servicios de firewall diseñados para Microsoft Azure ofrecen seguridad y soporte a las organizaciones que desean proteger sus datos y aplicaciones, especialmente para aquellas que no tienen requisitos complejos.