Utilizzare Azure Firewall Manager e Secure Virtual Hub per gestire la sicurezza nelle reti virtuali in Azure

Azure Firewall Manager è un servizio che gestisce in maniera centralizzata i criteri di sicurezza (firewall policy) e l’instradamento del traffico delle reti virtuali in Azure e permette di creare hub virtuali protetti per proteggere il traffico di rete cloud destinato a indirizzi IP privati, a soluzioni PaaS di Azure e a Internet. Il routing del traffico verso il firewall è automatizzato, pertanto non è necessario creare rotte definite dall’utente.

Con Azure Firewall Manager è possibile gestire due tipi di architetture di rete:

  1. Secure Virtual Hub. Grazie a questo tipo di architettura è possibile creare facilmente reti hub-spoke associare Azure Firewall Policy. Quando i criteri di sicurezza e routing vengono associati a un hub di questo tipo, quest’ultimo viene definito hub virtuale protetto.
  2. Hub virtual network. È una rete virtuale di Azure standard creata e gestita dall’utente. Quando a un hub di questo tipo sono associati criteri di sicurezza, l’hub è definito rete virtuale hub. Attualmente sono supportati solo Azure Firewall Policy, di cui ho parlato nella guida Configurare Azure Firewall Standard e Premium – ICT Power

Figura 1: Architetture gestite da Azure Firewall Manager

Azure Firewall Manager offre le seguenti funzionalità:

  •  Distribuzione e configurazione in modo centralizzato di più istanze di Firewall di Azure che si estendono in diverse aree e sottoscrizioni di Azure.
  • Gestione centralizzata di Azure Firewall Policy per gestire i criteri tra più hub virtuali protetti.
  • Integrazione con provider di terza parti per fornire una protezione di rete aggiuntiva alle connessioni di rete virtuale e branch per Internet.
  • Gestione centralizzata del routing

Hub virtuale protetto

In questa guida mi occuperò della creazione e configurazione di un hub virtuale protetto. Un hub virtuale protetto è un Hub WAN virtuale di Azure con criteri di sicurezza e routing associati configurati da Azure Firewall Manager. Ho già avuto modo di trattare Azure Virtual WAN nella guida Configurare Azure Virtual WAN per gestire in maniera centralizzata le connessioni da e verso Azure – ICT Power

Usando Azure Firewall Manager nel portale di Azure è possibile creare un nuovo hub virtuale protetto o convertire un hub virtuale esistente creato in precedenza tramite la rete Azure Virtual WAN.

Figura 2: Principio di funzionamento di un Hub virtuale protetto da Azure Firewall manager

Le operazioni per mettere in sicurezza un hub centralizzato da cui far passare tutto il nostro traffico sono:

  • Creare le reti virtuali spoke
  • Creare un hub virtuale protetto
  • Connettere le reti virtuali hub-spoke
  • Instradare il traffico all’hub
  • Distribuire i server
  • Creare un criterio firewall e proteggere l’hub
  • Testare il firewall

Creazione delle reti virtuali spoke

Per creare le reti virtuali spoke è sufficiente collegarsi al portale di Azure e creare delle nuove virtual network. Nelle schermate sotto sono mostrati tutti i passaggi necessari, che sono molto intuitivi:

Figura 4: Creazione di una virtual network nel portale di Azure

Figura 5: Informazioni base della VNET Spoke 1

Figura 6: Configurazioni degli indirizza menti per la VNET Spoke 1

Figura 7: Configurazioni della security della VNET Spoke 1

Figura 8. Informazioni riassuntive per la creazione della VNET Spoke 1

Ripetete le stesse operazioni per la creazione alla seconda VNET Spoke.

Figura 9: Creazione della VNET Spoke 2

Figura 10: Configurazioni direte della VNET Spoke 2

Figura 11: Riepilogo delle configurazioni della VNET Spoke 2

Creazione dell’hub virtuale protetto

Per la creazione dell’hub virtuale protetto è necessario utilizzare Azure Firewall Manager. Dal portale di Azure cercate Firewall Manager e cliccate su Visualizza hub virtuali protetti.

Figura 12: Schermata di avvio di Firewall Manager

Nella pagina Gestione firewall | Hub virtuali protetti selezionate Crea nuovo hub virtuale protetto.

Figura 13: Creazione di un nuovo hub protetto in Firewall Manager

Completate le configurazioni richieste, scegliendo il nome dell’Hub virtuale protetto e lo spazio degli indirizzi.

Figura 14: Configurazioni del Secured virtual hub

Accettare l’impostazione predefinita Azure Firewall. Io ho deciso di utilizzare il tier Standard e di utilizzare un unico indirizzo IP pubblico. Azure Firewall è disponibile in due tier, Standard e Premium. Maggiori dettagli sono descritti nella guida Configurare Azure Firewall Standard e Premium – ICT Power. Il numero massimo di indirizzi IP che può avere Azure Firewall è 250.

Figura 15: Abilitazione di Azure Firewall collegato al secured virtyal hub

Accettare l’impostazione predefinita per Partner di sicurezza affidabile, mantenendolo Disabilitato. I provider di partner di sicurezza in gestione firewall di Azure consentono di usare le proprie offerte di sicurezza come servizio (secar) di terze parti per proteggere l’accesso a Internet per gli utenti. Per approfondimenti vi rimando alla lettura dell’articolo Che cosa sono i provider del partner di sicurezza di Azure Firewall Manager? | Microsoft Docs

Figura 16: Configurazioni dei Security partner provider

Rivedete le configurazioni e cliccate su Crea. Sono necessari circa 30 minuti per la distribuzione dell’Hub virtual sicuro.

Figura 17: Riepilogo delle configurazioni di Secured virtual hub

Attendete la creazione dell’Hub virtual sicuro. Nel mio caso ci sono voluti 26 minuti.

Figura 18: Creazione dell’Hub virtuale sicuro completata

Connessione delle reti virtuali Spoke al virtual Hub

Azure Virtual WAN raggruppa in una singola interfaccia numerosi servizi di connettività cloud di Azure, come ad esempio le VPN da sito a sito (Site to Site), le VPN utente da punto a sito (Point to Site) ed ExpressRoute. La connettività con le reti virtuali di Azure viene stabilita tramite connessioni che utilizzando un virtual gateway.

Nella figura sotto viene mostrato un esempio di configurazione HUB and SPOKE, in cui l’hub di rete ospitato nel cloud consente la connettività di transito tra gli endpoint che possono essere distribuiti tra tipi diversi di spoke.

Figura 19: Modello Hub-Spoke di Azure Virtual WAN

Dal portale di Azure selezionate la Virtual WAN che è stata creata direttamente come risorsa del Resource Group. Nella scheda Overview vedrete che sarà disponibile L’Hub virtuale protetto che avete appena creato.

Figura 20: Scheda Overview di Azure Virtual WAN

Selezionate il nodo Connessioni rete virtuale e cliccate su Aggiungi connessione. Aggiungete a questo punto le due connessioni per le reto virtuali SPOKE che avete creato in precedenza.

Figura 21: Aggiunta della connessione alla VNET Spoke 1

Figura 22: Aggiunta della connessione alla VNET Spoke 2

Figura 23: Le due VNET sono state collegate alla Azure Virtual WAN

Creare un criterio firewall e proteggere l’hub

Abbiamo trattato già nella guida Configurare Azure Firewall Standard e Premium – ICT Power a cosa serve e come configurare la Azure Firewall Policy, una risorsa creata nella nostra Subscription, che potrà essere configurata e riutilizzata in modo indipendente, condividendo le configurazioni tra Azure Firewall diversi.

Azure Firewall Policy permette di creare diversi tipi di regole:

  • Network rules Permettono di gestire il traffico proveniente da alcune reti e diretto verso altre reti in base alle porte utilizzate
  • NAT rules Permettono di consentire il traffico dall’esterno del firewall verso endpoint interni della rete
  • Application rules Permettono di limitare il traffico HTTP/S in uscita a un elenco specifico di nomi di dominio (FQDN).

In Azure Firewall Manager selezionate il nodo Azure Firewall Policies e cliccate su + Create Azure Firewall Policy.

Figura 24: Creazione di una Azure Firewall Policy In Azure Firewall Manager

Inserite le informazioni richieste per la configurazione della Azure Firewall Policy. Ho creato una policy Standard visto che il firewall creato in precedenza è di tipo Standard.

Figura 25: Creazione della Azure Firewall Policy Standard

Nella Azure Firewall Policy è possibile configurare dei DNS server personalizzati da utilizzare per la risoluzione dei nomi. Trovate un interessante articolo alla pagina New enhanced DNS features in Azure Firewall—now generally available | Blog e aggiornamenti di Azure | Microsoft Azure

Figura 26: Configurazioni DNS della Azure Firewall Policy

Nella scheda TLS inspection non è possibile selezionare nulla perché la funzionalità è disponibile solo se le policy sono di tipo Premium.

Il TLS inspection  consiste nell’intercettare gli attacchi anche quando vengono effettuati utilizzando connessioni protette da TLS (come avviene per la navigazione HTTPS).

Azure Firewall Premium può intercettare il traffico HTTP/S in uscita e autogenerare un certificato per il sito web da navigare, generato utilizzando una Certification Authority intermedia. Maggiori info sono disponibili nella guida Configurare Azure Firewall Standard e Premium – ICT Power

Figura 27: Configurazione del TLS inspection

A questo punto potete aggiungere le regole per la vostra Azure Firewall Policy, che come già scritto prima possono essere di 3 tipi:

  • Network rules Permettono di gestire il traffico proveniente da alcune reti e diretto verso altre reti in base alle porte utilizzate
  • NAT rules Permettono di consentire il traffico dall’esterno del firewall verso endpoint interni della rete
  • Application rules Permettono di limitare il traffico HTTP/S in uscita a un elenco specifico di nomi di dominio (FQDN).

Io ho deciso di creare una Application Rule che permetta il traffico verso una determinata pagina web. Io ho scelto di far navigare le macchine solo verso il dominio ictpower.it, utilizzando i protocolli HTTP e HTTPS.

Figura 28: Creazione di una Application Rule in Azure Firewall Policy

Figura 29: Creazione della Application Rule completata

Aggiungete tutte le altre regole che ritenete necessarie e proseguite con la configurazione delll’IDPS. L’IDPS (Intrusion Detection and Prevention System) è un sistema di rilevamento e prevenzione delle intrusioni di rete consente di monitorare le attività di rete per rilevare attività dannose, registrare informazioni su questa attività, segnalarla e, facoltativamente, tentare di bloccarla.

L’abilitazione dell’IDPS è molto semplice e consiste nel decidere se ricevere solo gli alert in caso di tentativi di attacco oppure se bloccare il traffico. Attualmente vengono utilizzate 35.000 regole in oltre 50 categorie (malware command and control, DoS attacks, botnets, informational events, exploits, vulnerabilities, SCADA network protocols, exploit kit activity ed altre) e vengono aggiunte circa 20-40 regole nuove al giorno!

Nel mio caso non è attivabile perché è una funzionalità di tipo Premium.

Figura 30: Configurazione dell’IDPS in Azure Firewall Policy

La soluzione Microsoft Threat Intelligence, basata su Intelligent Security Graph, viene usata per filtrare le minacce e per generare avvisi quando da qualche sito web dannoso o da qualche indirizzo IP cercano di attaccare la nostra infrastruttura. er impostazione predefinita, il filtro basato sull’intelligence sulle minacce è abilitato in modalità di avviso ed è possibile aggiungere dei siti da cui considerare attendibili le connessioni. Se è stato abilitato il filtro basato sull’intelligence sulle minacce, le regole associate vengono elaborate prima delle regole NAT, delle regole di rete o delle regole dell’applicazione.

Figura 31: Configurazione della Threat Intelligence in Azure Firewall Policy

Controllate le impostazioni della vostra Azure Firewall Policy e cliccate su Create per procedere alla sua creazione.

Figura 32: Schermata riepilogativa delle configurazioni scelte per la Azure Firewall Policy

Associare la Azure Firewall Policy all’HUB virtuale sicuro.

Una vota che la Azure Firewall Policy è stata generata è possibile associarla all’Hub virtuale sicuro. Dal Firewall Manager selezionate la policy e da Gestisci associazioni scegliete associa Hub, come mostrato nella figura sotto:

Figura 33: Associazione di una Azure Firewall Policy ad un virtual Hub

Dal portale di Azure è anche possibile controllare che la policy sia stata associata all’Azure Firewall che è stato precedentemente creato da Azure Firewall Manager

Figura 34: Firewall creato da Azure Firewall Manager

Nella finestra che si aprirà scegliete a quale Hub virtuale sicuro associare la policy, come mostrato in figura.

Figura 35: Scelta dell’hub virtuale sicuro a cui associare la Azure Firewall Policy

Instradare il traffico dell’hub virtuale sicuro attraverso Azure Firewall

A questo punto è necessario assicurarsi che il traffico di rete venga instradato attraverso il firewall. In Azure Firewall Manager selezionate il nodo Virtual Hubs e successivamente cliccate sull’Hub virtuale sicuro da configurare.

Figura 36: Scelta dell’Hub virtuale sicuro da configurare

Nel nodo Security Configuration potete stabilire come gestire sia il traffico Internet sia il traffico tra le virtual network. Io ho scelto di configurare il traffico in modo tale da farlo passare attraverso Azure Firewall, come mostrato nella figura sotto:

Figura 37: Tutto il traffico, sia privato che Internet dovrà essere gestito da Azure Firewall

Fate clic su Save per confermare la vostra scelta e attendete l’aggiornamento delle tabelle di routing, che nel mio caso è durato circa 7-8 minuti.

Al termine della configurazione nel nodo Security Configuration dell’hub virtuale sicuro verrà mostrato che le connessioni sono sicure e sono gestite da Azure Firewall.

Figura 38: Le connessioni sono sicure e sono gestite da Azure Firewall.

Test di verifica

Per verificare che le configurazioni siano funzionanti mi sono collegato ad una macchina virtuale ospitata in una delle virtual network di SPOKE (SpokeVNET1) e ho provato a navigare in Internet

Figura 39: La macchina SERVER01 è collegata alla VNET SPokeVNET01

Come si può vedere dalla figura sotto, la navigazione è consentita verso il sito www.ictpower.it per via dell’Application Rule configurata nella Azure Firewall Policy, mentre è negato verso il sito www.google.com (e verso tutti gli altri siti).

Figura 40: Verifica di navigazione verso Internet. L’Application Rule permette solo il traffico verso i siti consentiti

Conclusioni

Firewall Manager e i Secure Virtual Hub permettono di configurare in maniera rapida, efficiente ma soprattutto semplice le configurazioni di reti virtuali in Azure e ne permettono una gestione centralizzata. La distribuzione e la configurazione di più istanze di Azure Firewall, in reti di Hub di Virtual WAN, permette di gestire il traffico verso Internet e verso le reti virtuali, con l’ausilio del Secure Virtual Hub, senza manipolare le User Defined Routes delle reti di spoke.