Firewall di Azure

Per proteggere contro le crescenti minacce informatiche, si consiglia ai clienti di Azure di installare un tipo di firewall. Sebbene i diversi tipi di firewall di Azure svolgano funzioni diverse all'interno del cloud Microsoft, agiscono principalmente come monitor per le interazioni tra una determinata sezione del cloud pubblico e il resto di Internet. Filtrando pacchetti e richieste, questi firewall possono bloccare il software dannoso dall'accesso a applicazioni, dati o persino alla rete stessa. Il Microsoft Azure Marketplace vende firewall che generalmente rientrano in due categorie: Web Application Firewalls e Network Firewalls. Microsoft Azure è una piattaforma di servizi cloud pubblici che supporta una vasta selezione di sistemi operativi, linguaggi di programmazione, framework, strumenti, database e dispositivi. Come altre implementazioni cloud, Azure utilizza un modello di sicurezza condivisa che può essere meglio spiegato nel white paper di Microsoft Shared Responsibilities for Cloud Computing. In breve, Microsoft è responsabile della sicurezza dell'infrastruttura che mantiene il cloud, mentre i clienti sono responsabili dei propri dati e delle applicazioni che utilizzano l'infrastruttura. Essere responsabili della propria proprietà digitale significa che i clienti devono adottare ulteriori misure per proteggere i propri dati, applicazioni e reti.

Firewall per applicazioni web di Azure

Installare un firewall per applicazioni web è una misura importante da adottare - per qualsiasi azienda o anche per un individuo - al fine di proteggere le applicazioni su Azure. I WAF cloud sono posizionati davanti a un'applicazione web e monitorano tutte le interazioni con Internet. Man mano che i pacchetti provengono dagli utenti, o anche da altre applicazioni, vengono filtrati in modo che nessun software dannoso possa raggiungere l'applicazione stessa. Attualmente, Microsoft Azure ha il proprio firewall nativo, ma la maggior parte delle aziende si rivolge a firewall per applicazioni web di terze parti che offrono funzionalità meglio adattate alle loro esigenze.

Un firewall per applicazioni web potente e robusto dovrebbe avere le seguenti capacità:

• Filtraggio del traffico: Il filtraggio del traffico è una delle operazioni più pratiche e importanti eseguite da un Firewall per Applicazioni Web. Filtrando il traffico in base a fattori come intestazioni HTTP, parole chiave, indirizzi IP e persino stringhe URI, il Firewall per Applicazioni Web può prevenire interazioni dannose prima che raggiungano un'applicazione.
• Protezione degli script: Poiché sempre più applicazioni vengono spostate nel cloud pubblico, i criminali informatici trovano modi più semplici per automatizzare i loro attacchi contro un numero maggiore di obiettivi. Generando strumenti o script che possono continuamente sondare e attaccare applicazioni vulnerabili, possono estendere la loro rete tra le migliaia di applicazioni in esecuzione sul cloud pubblico di Azure. Sebbene attacchi come l'iniezione SQL o lo scripting intersito possano diventare personalizzati una volta trovate le vulnerabilità, spesso vengono inviati casualmente attraverso Internet alla ricerca di applicazioni non protette. Almeno, un firewall per applicazioni web dovrebbe proteggere facilmente contro questi script di attacco non personalizzati.
• Protezione e sicurezza delle API: Le applicazioni basate su cloud sono la norma al giorno d'oggi: questo significa che le API sono necessarie per quasi tutte le applicazioni al fine di facilitare le interazioni. Un WAF capace dovrebbe essere in grado di proteggere le API delle tue applicazioni Azure contro tutti i tipi di attacchi basati su API, come l'API farming o lo scraping.
• Consegna sicura: Le moderne soluzioni WAF possono garantire che la tua applicazione venga consegnata in modo sicuro tramite HTTPS. È obbligatorio fornire un'applicazione HTTPS per la maggior parte dei servizi moderni: nessuno vuole che i propri dati siano esposti se può essere evitato.
• Set di regole personalizzate: I WAF iniziano utilizzando quello che viene chiamato un CRS o Core Rule Set. Sebbene un CRS (e ce ne siano diverse versioni) protegga dalla maggior parte degli attacchi OWASP Top-10 e da altre minacce, molte aziende scoprono di aver bisogno (o di aver già sviluppato) regole personalizzate specifiche oltre al CRS, generalmente adattate a specifiche applicazioni e gruppi di utenti. Per distribuire queste applicazioni nel cloud, queste aziende vorranno replicare i loro set di regole personalizzate, qualcosa che i WAF che offrono solo il CRS non possono soddisfare.

Firewall di rete di Azure

I firewall di rete su Azure sono l'equivalente centrato sulla rete per la consapevolezza e la protezione delle applicazioni che i firewall per applicazioni web forniscono. Le aziende che utilizzano Azure per applicazioni critiche per la missione, o per fornire accesso remoto sicuro a queste applicazioni per i propri utenti, installeranno un firewall di rete. Un vero firewall di rete di Azure dovrebbe sfruttare tutte le funzionalità integrate di Azure e fornire un modello di licenza che funzioni con qualsiasi organizzazione, in modo da non essere sovraccaricati per una protezione di cui non hai bisogno. Inoltre, dovrebbero integrarsi con l'intera suite di gestione, monitoraggio e automazione che è integrata nelle infrastrutture del cloud pubblico di Azure.

Un firewall di rete Azure standard dovrebbe avere le seguenti capacità:

• Gestione dell'identità e degli accessi: Come per qualsiasi sistema di sicurezza cloud, una forte autenticazione e gestione degli accessi è fondamentale per limitare l'accesso alla rete. Senza gestione dell'identità, i criminali informatici potrebbero impersonare utenti validi e ottenere accesso a dati o applicazioni sensibili.
• Protezione dei punti di accesso: Utilizzare il cloud pubblico significa che ci sono spesso molti punti di accesso per gli utenti per interagire con la rete. Per questo motivo, è importante avere un perimetro di rete sicuro che monitori il traffico che tenta di entrare nella rete. Senza una protezione adeguata, questi punti di accesso possono essere violati, molte volte senza che tu lo sappia.
• Modello economico modulare: Come la maggior parte dei moderni prodotti SaaS, è importante che ci siano diverse opzioni di licenza disponibili che consentano flessibilità per diverse organizzazioni con esigenze diverse. Scalare in base al traffico di rete consente di pagare solo per il traffico utilizzato: questo livello di granularità dei pagamenti significa che le piccole imprese possono contare sulle stesse funzionalità delle grandi aziende.
• Alta disponibilità: Il firewall che scegli dovrebbe essere in grado di distribuire un gran numero di istanze server, in diverse regioni, mantenendo comunque un elevato standard di prestazioni. Uno dei vantaggi dell'utilizzo di un servizio cloud come Azure è l'accesso a data center distribuiti in tutto il mondo. Tuttavia, se la sicurezza della rete è compromessa o sovraccaricata, quel vantaggio geografico perde di rilevanza.
• Supporto VPN: Uno dei vantaggi delle piattaforme cloud è che i dipendenti possono accedere ai dati da diversi dispositivi, sia in sede, ma soprattutto quando lavorano da remoto. Un firewall di rete efficace per Azure dovrebbe essere in grado di integrarsi direttamente con le VPN e offrire un accesso ottimizzato e sicuro alle risorse cloud per gli utenti che utilizzano qualsiasi tipo di dispositivo.
• Funzionalità SD-WAN: L’SD-WAN è diventata indispensabile per molte organizzazioni grazie ai notevoli risparmi sui costi che offre se utilizzata correttamente al posto dell'infrastruttura MPLS tradizionale. Molti firewall di rete moderni offrono funzionalità SD-WAN integrate, consentendo così di mantenere la sicurezza dei firewall di rete tradizionali con la possibilità di instradare il traffico in modo economico su una rete estesa.
• Supporto per Virtual WAN: Microsoft Azure dispone di data center in numerose località in tutto il mondo e offre una funzionalità interessante che consente di sfruttarli come una WAN virtuale. Questo diventa una rete estesa, simile a una SW-WAN, ma necessita anche di una protezione firewall di rete simile. Un firewall di rete efficace per Azure dovrebbe essere consapevole della Virtual WAN e avere un'integrazione semplificata.

I servizi cloud sono fondamentali per l'infrastruttura e l'archiviazione su Internet – ciò richiede soluzioni di sicurezza robuste che si concentrino sull'operatività e sull'affidabilità. I servizi di firewall progettati per Microsoft Azure offrono sicurezza e supporto alle organizzazioni che desiderano proteggere i loro dati e applicazioni, soprattutto per quelle che non hanno requisiti sofisticati.