As organizações geralmente precisam atualizar sua Política de Firewall do Azure por vários motivos, como integração de novos aplicativos ou cargas de trabalho, endereçamento de vulnerabilidades de segurança, execução de manutenção ou otimização de políticas mesclando ou removendo regras não usadas. Essas atualizações podem envolver vários colaboradores e cada alteração pode levar vários minutos para ser implantada.
Com o Rascunho de Política de Firewall do Azure + Implantação, você pode simplificar esse processo usando uma abordagem de duas fases:
Rascunho: faça várias alterações de maneira colaborativa, salvas em uma política de rascunho temporária clonada da sua política aplicada atual. Essas alterações não afetam a política vigente.
Implantação: aplique todas as alterações de uma só vez implantando o rascunho, substituindo a política aplicada atual pela versão atualizada.
Cenários e limitações com suporte
O recurso Rascunho e Implantação foi projetado para casos de uso específicos e tem determinadas restrições:
Cenários com suporte
- Esse recurso está disponível exclusivamente para Políticas de Firewall do Azure. Ele não dá suporte a firewalls configurados com regras clássicas.
Limitações
- Um rascunho é criado como um clone da política aplicada no momento. As alterações feitas na política aplicada após a criação do rascunho não são refletidas no rascunho, a menos que sejam atualizadas manualmente.
- A implantação de um rascunho substitui toda a política aplicada. As alterações feitas na política aplicada após a criação do rascunho não são preservadas, a menos que também sejam adicionadas ao rascunho.
- Não há suporte para a criação de um novo grupo de coleta de regras (RCG) diretamente em um rascunho de política.
- Somente um rascunho pode existir para uma política a qualquer momento.
Pré-requisitos
- Se você não tiver uma assinatura do Azure, poderá criar uma conta gratuita para começar.
- Para usar esse recurso com a CLI do Azure, verifique se você tem a extensão do Firewall do Azure instalada e atualizada para a versão 1.2.3 ou posterior.
Observação
Ao usar esse recurso por meio do Azure PowerShell ou da API REST do Azure, primeiro você deve baixar a política atual e criar manualmente um rascunho com base nele. Por outro lado, usar o portal do Azure ou a CLI gera automaticamente um rascunho da política existente.
Usar o Rascunho e Implantação
O Rascunho + Implantação do Firewall do Azure permite que você faça atualizações em massa para sua política de firewall antes de aplicá-las à produção.
No portal do Azure, navegue até sua política de firewall existente ou crie uma nova.
Na página Política de Firewall do Azure , na seção Gerenciamento , selecione Rascunho & Implantação e, em seguida, selecione Criar um novo rascunho. Isso cria um rascunho que é uma cópia exata da política aplicada atual.
Na página de rascunho, faça alterações ou adições às suas regras ou configurações. Essas páginas são idênticas às da política implantada. As alterações só entrarão em vigor quando você implantar o rascunho.
Para verificar as alterações, retorne à tela Implantar para examinar as regras ou configurações atualizadas. Para aplicar as alterações, selecione Implantar rascunho. Depois de implementada, a proposta substitui a política atual e se torna a versão mais recente. O rascunho é excluído após a implantação.
Repita esse processo conforme necessário para fazer mais atualizações em sua política de firewall.
Execute o comando az login para fazer logon em sua conta do Azure:
az login
Crie um rascunho usando o comando az network firewall policy draft create. Esse comando cria um rascunho da política aplicada atual. Você pode usar os parâmetros --policy-name e --resource-group para especificar o nome e o grupo de recursos da sua política de firewall.
az network firewall policy draft create --policy-name fw-policy --resource-group test-rg
Atualize as configurações no rascunho usando o comando az network firewall policy draft update. Esse comando permite que você modifique o modo da inteligência contra ameaças e o modo IDPS para o rascunho. Use o --threat-intel-mode parâmetro para definir o modo de inteligência contra ameaças desejado e o --idps-mode parâmetro para configurar o modo IDPS (sistema de detecção e prevenção de intrusões):
az network firewall policy draft update --policy-name fw-policy --resource-group test-rg --threat-intel-mode Off --idps-mode Deny
Atualizar regulamento provisório
Crie um RCG (New Rule Collection Group) usando az network firewall policy rule-collection-group draft create command:
az network firewall policy rule-collection-group draft create --rule-collection-group-name rcg-b --policy-name fw-policy --resource-group test-rg --priority 303
Adicionar uma coleção de regras NAT a um RCG existente no Rascunho
az network firewall policy rule-collection-group draft collection add-nat-collection \
--name nat_collection_1 \
--collection-priority 10003 \
--policy-name fw-policy \
--resource-group test-rg \
--rule-collection-group-name rcg-c \
--action DNAT \
--rule-name network_rule_21 \
--description "test" \
--destination-addresses "202.120.36.15" \
--source-addresses "202.120.36.13" "202.120.36.14" \
--translated-address 128.1.1.1 \
--translated-port 1234 \
--destination-ports 12000 12001 \
--ip-protocols TCP UDP
Exiba os detalhes do rascunho usando o comando az network firewall policy draft show :
az network firewall policy draft show --policy-name fw-policy --resource-group test-rg
Implante o rascunho para aplicar as alterações usando o comando az network firewall policy deploy:
az network firewall policy deploy --name fw-policy --resource-group test-rg
Descarte o rascunho se não precisar mais dele usando o comando az network firewall policy draft delete:
az network firewall policy draft delete --policy-name fw-policy --resource-group test-rg
Use o cmdlet New-AzFirewallPolicyDraft para criar um rascunho da política aplicada atual. Especifique o nome da política e o grupo de recursos:
New-AzFirewallPolicyDraft -AzureFirewallPolicyName fw-policy -ResourceGroupName test-rg
Use o cmdlet Set-AzFirewallPolicyDraft para atualizar as configurações no rascunho. Por exemplo, você pode atualizar o modo de inteligência contra ameaças e o modo IDPS:
Set-AzFirewallPolicyDraft -AzureFirewallPolicyName fw-policy -ResourceGroupName test-rg -ThreatIntelWhitelist $threatIntelWhitelist
Atualize as regras de rascunho com os seguintes cmdlets:
New-AzFirewallPolicyRuleCollectionGroupDraft -AzureFirewallPolicyRuleCollectionGroupName rcg-a -ResourceGroupName test-rg -AzureFirewallPolicyName fw-policy -Priority 200
$rule1 = New-AzFirewallPolicyApplicationRule -Name "Allow-HTTP" -Protocol "Http:80" -SourceAddress "10.0.0.0/24" -TargetFqdn www.example.com
$rule2 = New-AzFirewallPolicyApplicationRule -Name "Allow-HTTPS-2" -Protocol "Https:443" -SourceAddress "10.0.0.0/24" -TargetFqdn "www.secureexample.com"
$ruleCollection = New-AzFirewallPolicyFilterRuleCollection -Name "Allow-Rules" -Priority 100 -Rule $rule1, $rule2 -ActionType Allow
Set-AzFirewallPolicyRuleCollectionGroupDraft -AzureFirewallPolicyRuleCollectionGroupName rcg-b -ResourceGroupName test-rg -AzureFirewallPolicyName fw-policy -Priority 400 -RuleCollection $ruleCollection
Use o cmdlet Get-AzFirewallPolicyDraft para exibir os detalhes do rascunho:
Get-AzFirewallPolicyDraft -AzureFirewallPolicyName fw-policy -ResourceGroupName test-rg
Use o cmdlet Deploy-AzFirewallPolicy para aplicar as alterações no rascunho à política ativa.
Deploy-AzFirewallPolicy -Name fw-policy -ResourceGroupName test-rg
Se você quiser descartar o rascunho sem aplicar as alterações, use o cmdlet Remove-AzFirewallPolicyDraft :
Remove-AzFirewallPolicyDraft -AzureFirewallPolicyName fw-policy -ResourceGroupName test-rg
Próximas etapas