Pular para o conteúdo principal

Laboratório Técnico: Map requirements to features and capabilities of Azure Firewall

Questões

Questão 1 — Múltipla Escolha

Uma organização precisa inspecionar e filtrar tráfego de saída HTTP e HTTPS de suas VMs para a internet com base em nomes de domínio completos (FQDNs), e não em endereços IP. A equipe avalia se deve usar regras de rede ou regras de aplicação do Azure Firewall.

Qual afirmação descreve corretamente a distinção entre esses dois tipos de regra para esse requisito?

  • A) Regras de rede suportam filtragem por FQDN desde que o DNS do Azure Firewall esteja configurado; regras de aplicação são necessárias apenas para tráfego HTTPS com inspeção TLS.
  • B) Regras de aplicação foram projetadas para filtrar tráfego HTTP e HTTPS com base em FQDNs, incluindo suporte a wildcards; regras de rede operam em camada 3 e 4 e não resolvem FQDNs dinamicamente para tráfego web.
  • C) Regras de aplicação e regras de rede são equivalentes para filtragem de FQDN em tráfego HTTP; a diferença está apenas no suporte a protocolos adicionais como MSSQL e RDP.
  • D) Regras de rede suportam FQDN apenas para Service Tags da Microsoft; para FQDNs arbitrários na internet, apenas regras de aplicação são válidas.

Questão 2 — Cenário Técnico

Uma equipe configura o Azure Firewall para proteger uma arquitetura hub-and-spoke. As VMs nos spokes precisam acessar api.exemplo.com na porta 443. O administrador cria a seguinte regra de aplicação:

Nome:         Allow-API
Tipo de fonte: IP Address
Fonte:        10.0.0.0/8
Protocolo:    HTTPS:443
FQDN destino: api.exemplo.com
Ação:         Allow

Após a implantação, as VMs não conseguem acessar o endpoint. O administrador confirma que as rotas UDR estão corretas e apontam para o Azure Firewall. Qual é a causa mais provável do problema?

  • A) Regras de aplicação não suportam CIDR com prefixo /8; o campo de fonte deve conter um endereço IP individual ou um grupo de IPs.
  • B) O Azure Firewall requer que as regras de aplicação HTTPS com FQDN tenham a inspeção TLS habilitada; sem ela, o tráfego HTTPS é bloqueado por padrão.
  • C) A regra de aplicação foi criada, mas o Azure Firewall possui uma regra de negação implícita para todo tráfego não correspondido; como não há uma regra de rede permitindo o tráfego DNS das VMs para o Azure Firewall resolver o FQDN, a resolução falha antes de a regra ser avaliada.
  • D) O campo FQDN destino em regras de aplicação aceita apenas FQDNs com wildcard (*.exemplo.com); FQDNs exatos são ignorados pelo mecanismo de correspondência.

Questão 3 — Múltipla Escolha

Uma empresa avalia a diferença entre o Azure Firewall Standard e o Azure Firewall Premium para decidir qual SKU atende seus requisitos de segurança. O requisito crítico é a capacidade de inspecionar o conteúdo de sessões HTTPS criptografadas para detectar malware e exploits em tráfego de saída.

Qual SKU atende esse requisito e por qual mecanismo específico?

  • A) Azure Firewall Standard, por meio de regras de aplicação com filtragem de FQDN, que inspecionam o cabeçalho SNI das sessões TLS para identificar conteúdo malicioso.
  • B) Azure Firewall Premium, por meio do recurso de inspeção TLS, que realiza descriptografia man-in-the-middle do tráfego HTTPS para permitir análise do payload pelo sistema de detecção de intrusão.
  • C) Ambos os SKUs suportam inspeção TLS; a diferença está na capacidade de throughput e no número de regras suportadas simultaneamente.
  • D) Azure Firewall Premium, por meio do recurso de IDPS operando no modo de alerta passivo, que analisa metadados da sessão TLS sem necessidade de descriptografar o tráfego.

Questão 4 — Verdadeiro ou Falso

No Azure Firewall, as regras de rede têm precedência sobre as regras de aplicação quando ambas correspondem ao mesmo fluxo de tráfego, independentemente da ordem de prioridade configurada nas coleções de regras.

Questão 5 — Cenário Técnico

Uma organização usa o Azure Firewall para controlar o acesso de VMs internas a serviços do Azure. O requisito é permitir que as VMs acessem o Azure Storage e o Azure Key Vault, bloqueando qualquer outro destino. O administrador considera duas abordagens:

Abordagem 1: Criar regras de rede com as Service Tags Storage e AzureKeyVault como destino.

Abordagem 2: Criar regras de aplicação com FQDNs específicos dos endpoints do Storage e do Key Vault.

O arquiteto de segurança questiona qual abordagem oferece o controle mais granular. Qual análise está correta?

  • A) As duas abordagens são equivalentes em granularidade; a diferença é apenas operacional, pois Service Tags são atualizadas automaticamente pela Microsoft enquanto FQDNs precisam de manutenção manual.
  • B) A Abordagem 1 é mais granular porque Service Tags representam apenas os IPs dos endpoints privados dos serviços, enquanto FQDNs incluem todos os endpoints públicos e privados.
  • C) A Abordagem 2 é mais granular porque permite restringir o acesso a contas de storage ou cofres de chaves específicos por meio de FQDNs exatos, enquanto Service Tags permitem o acesso a todos os recursos daquele serviço na região ou globalmente.
  • D) A Abordagem 1 é mais granular porque o Azure Firewall resolve as Service Tags em tempo real, aplicando as políticas por IP de destino com maior precisão do que a resolução de FQDN, que pode ter variação de TTL.

Gabarito e Explicações

Gabarito — Questão 1

Resposta: B

As regras de aplicação do Azure Firewall operam na camada 7 e foram projetadas especificamente para inspecionar tráfego HTTP e HTTPS, suportando filtragem por FQDN com wildcards (por exemplo, *.microsoft.com). O firewall resolve o FQDN dinamicamente e associa os IPs retornados à regra.

As regras de rede operam nas camadas 3 e 4 (IP, porta, protocolo). Embora suportem FQDNs em alguns cenários específicos, elas não foram projetadas para filtrar tráfego web por nome de domínio de forma dinâmica e abrangente. A alternativa A confunde a dependência de DNS com suporte a FQDN em regras de rede. A alternativa C iguala capacidades que são fundamentalmente distintas. A alternativa D mistura corretamente o limite das regras de rede, mas a conclusão é imprecisa: regras de rede suportam FQDNs de Service Tags da Microsoft, não apenas tags genéricas.

Gabarito — Questão 2

Resposta: C

O Azure Firewall depende de resolução DNS para avaliar regras de aplicação baseadas em FQDN. As VMs nos spokes, ao usar o Azure Firewall como gateway padrão via UDR, precisam que suas consultas DNS cheguem a um servidor que possa resolvê-las. Se o DNS das VMs estiver configurado para um servidor que não é alcançável pelo Azure Firewall, ou se não houver uma regra de rede permitindo tráfego DNS (UDP/TCP porta 53) das VMs, a resolução falha antes que a regra de aplicação seja sequer avaliada.

A alternativa A está errada: regras de aplicação aceitam CIDRs normalmente. A alternativa B está errada: a inspeção TLS não é obrigatória para que regras de aplicação HTTPS funcionem; sem ela, o Azure Firewall usa o SNI para correspondência do FQDN. A alternativa D está errada: FQDNs exatos são plenamente suportados em regras de aplicação.

Gabarito — Questão 3

Resposta: B

Somente o Azure Firewall Premium oferece o recurso de inspeção TLS (TLS inspection), que funciona como um proxy intermediário: o firewall encerra a sessão TLS do cliente, inspeciona o payload descriptografado e estabelece uma nova sessão TLS com o destino. Isso permite que o sistema IDPS (Intrusion Detection and Prevention System), também exclusivo do Premium, analise o conteúdo real do tráfego HTTPS para detectar malware e exploits.

A alternativa A está errada: a leitura do SNI não constitui inspeção de conteúdo, apenas identifica o domínio de destino. A alternativa C está errada: o Standard não suporta inspeção TLS. A alternativa D está parcialmente correta ao mencionar o IDPS no Premium, mas erra ao afirmar que ele opera sem descriptografia do tráfego; a análise de payload de HTTPS exige inspeção TLS habilitada.

Gabarito — Questão 4

Resposta: Falso

No Azure Firewall, a ordem de processamento é determinada pelo tipo de regra, não pela prioridade das coleções. A sequência é: regras DNAT primeiro, depois regras de rede, depois regras de aplicação. As regras de rede têm precedência sobre as de aplicação na ordem de processamento, mas isso não significa que uma regra de rede com prioridade numericamente baixa sobreponha uma regra de aplicação de qualquer prioridade.

A afirmação é falsa porque mistura dois conceitos distintos: a ordem de tipo (rede antes de aplicação) e a prioridade dentro de cada tipo (numericamente menor = mais alta). Uma regra de rede de prioridade 200 não sobrepõe uma regra de rede de prioridade 100, mas qualquer regra de rede correspondida impede a avaliação das regras de aplicação para aquele fluxo. Compreender essa hierarquia é essencial para evitar permissões ou bloqueios inesperados.

Gabarito — Questão 5

Resposta: C

A Abordagem 2 oferece maior granularidade porque FQDNs específicos permitem restringir o acesso a recursos individuais dentro de um serviço. Por exemplo, minhaconta.blob.core.windows.net restringe o acesso apenas àquela conta de storage, enquanto a Service Tag Storage permite o tráfego para qualquer conta de storage hospedada pela Microsoft na região ou globalmente, dependendo da configuração.

A alternativa A está errada ao equiparar as abordagens em termos de granularidade: a diferença vai além da manutenção operacional. A alternativa B inverte a realidade: Service Tags representam os IPs públicos dos serviços, não apenas endpoints privados. A alternativa D confunde precisão de resolução com granularidade de controle; a variação de TTL é uma consideração operacional, não um argumento de granularidade de política.