Pular para o conteúdo principal

Laboratório Técnico: Select an Appropriate Azure Firewall SKU

Questões

Questão 1 — Múltipla Escolha

Uma empresa de serviços financeiros precisa implantar um firewall centralizado em uma topologia hub-and-spoke no Azure. Os requisitos levantados são:

  • Inspeção de tráfego TLS (TLS inspection)
  • Filtragem de URLs com categorias (URL filtering com categorias web)
  • Integração com Microsoft Threat Intelligence em modo de alerta e bloqueio
  • Suporte a pelo menos 30 Gbps de throughput em pico

Qual SKU do Azure Firewall atende a todos esses requisitos?

A) Azure Firewall Basic, pois suporta Threat Intelligence e filtragem de URLs por padrão.

B) Azure Firewall Standard, pois inclui todas as funcionalidades listadas a partir do tier padrão.

C) Azure Firewall Premium, pois inspeção TLS e filtragem de URLs com categorias são funcionalidades exclusivas desse tier.

D) Azure Firewall Standard com uma política de Firewall Manager de tier Premium associada, o que desbloqueia as funcionalidades avançadas sem custo adicional do SKU.

Questão 2 — Cenário Técnico

Uma organização usa o Azure Firewall Standard em produção há dois anos. O time de segurança identificou a necessidade de inspecionar o tráfego HTTPS cifrado que sai das VMs internas em direção à internet, para detectar exfiltração de dados e malware em conexões criptografadas.

O arquiteto avalia se é possível habilitar essa funcionalidade sem substituir o firewall existente.

Qual é a conclusão correta?

A) É possível habilitar a inspeção TLS no Azure Firewall Standard via Azure Firewall Policy, sem necessidade de migrar para outro SKU.

B) A inspeção TLS não está disponível em nenhum SKU do Azure Firewall; esse recurso exige a implantação de um Network Virtual Appliance (NVA) de terceiros.

C) É necessário migrar para o Azure Firewall Premium, pois a inspeção TLS é uma funcionalidade exclusiva desse SKU e não pode ser habilitada no Standard.

D) É possível habilitar inspeção TLS parcial no Standard associando um Application Gateway com WAF na frente do Azure Firewall, sem mudança de SKU.

Questão 3 — Verdadeiro ou Falso

O Azure Firewall Basic suporta implantação em topologias hub-and-spoke gerenciadas pelo Azure Virtual WAN e pode ser associado a políticas de Firewall Manager, sendo adequado para ambientes corporativos de médio porte com requisitos de throughput acima de 10 Gbps.

Verdadeiro ou Falso?

Questão 4 — Cenário Técnico

Uma startup com infraestrutura modesta no Azure precisa de proteção básica de firewall para filtrar tráfego de rede em duas VNets de desenvolvimento. Os requisitos são simples:

  • Regras de rede e de aplicação básicas
  • Threat Intelligence em modo de alerta (não bloqueio)
  • Custo operacional reduzido
  • Sem necessidade de alta disponibilidade com zonas de disponibilidade

O time cogita as seguintes opções:

Opção 1: Azure Firewall Basic
Opção 2: Azure Firewall Standard com escalonamento automático mínimo
Opção 3: Azure Firewall Premium com política Basic associada

Qual opção representa o melhor alinhamento entre custo e requisito funcional?

A) Opção 2, pois o Standard oferece mais flexibilidade para crescimento futuro sem custo adicional significativo em relação ao Basic.

B) Opção 3, pois usar uma política Basic em um SKU Premium reduz os custos do Premium ao nível do Basic.

C) Opção 1, pois o Azure Firewall Basic foi projetado exatamente para cenários de menor complexidade e custo, cobrindo regras de rede, aplicação e Threat Intelligence em modo alerta.

D) Opção 2, pois o Azure Firewall Basic não suporta regras de aplicação, apenas regras de rede.

Questão 5 — Múltipla Escolha

Ao comparar os três SKUs do Azure Firewall em relação a suas capacidades de IDPS (Intrusion Detection and Prevention System), qual afirmação está correta?

A) IDPS está disponível nos SKUs Standard e Premium, sendo que no Standard opera apenas em modo de detecção e no Premium em modo de detecção e prevenção.

B) IDPS é uma funcionalidade exclusiva do Azure Firewall Premium e não está disponível nos SKUs Basic e Standard.

C) IDPS está disponível em todos os SKUs do Azure Firewall, mas o número de assinaturas de ameaça disponíveis aumenta progressivamente do Basic ao Premium.

D) IDPS no Azure Firewall Premium opera apenas em modo de alerta por padrão e exige configuração manual para habilitar o modo de bloqueio por categoria de ameaça.

Gabarito e Explicações

Gabarito — Questão 1

Resposta: C

Inspeção TLS e filtragem de URLs com categorias web são funcionalidades exclusivas do Azure Firewall Premium. O Standard oferece filtragem de FQDNs e Threat Intelligence, mas não suporta descriptografia e reinspeção de tráfego TLS nem categorização granular de URLs. O requisito de throughput de 30 Gbps também é coberto pelo Premium, que suporta até 100 Gbps com escalonamento.

A alternativa A está errada: o Basic suporta Threat Intelligence apenas em modo alerta e não possui filtragem de URLs com categorias. A alternativa B está errada porque o Standard não inclui inspeção TLS. A alternativa D representa um equívoco comum: o tier da política de Firewall Manager não eleva as capacidades do SKU do firewall; as funcionalidades avançadas dependem do SKU do recurso de firewall, não da política associada.

Gabarito — Questão 2

Resposta: C

A inspeção TLS é uma funcionalidade arquiteturalmente vinculada ao Azure Firewall Premium. Ela exige que o firewall atue como proxy intermediário nas conexões TLS, o que demanda capacidades de processamento e certificação que não estão presentes no Standard. Não há mecanismo de habilitação parcial ou via política que conceda essa funcionalidade ao Standard.

A alternativa A está errada porque nenhuma configuração de política desbloqueia inspeção TLS no Standard. A alternativa B está incorreta: inspeção TLS é suportada nativamente pelo Premium, sem necessidade de NVA. A alternativa D descreve uma arquitetura tecnicamente possível, mas que não equivale à inspeção TLS no firewall em si: o Application Gateway com WAF inspeciona tráfego de entrada, não de saída iniciado pelas VMs internas.

Gabarito — Questão 3

Resposta: Falso

O Azure Firewall Basic possui limitações importantes que o tornam inadequado para os cenários descritos. Primeiro, ele não suporta implantação em topologias gerenciadas pelo Azure Virtual WAN. Segundo, o throughput máximo do Basic é de 250 Mbps, muito abaixo do requisito hipotético de 10 Gbps mencionado na afirmação. O Basic foi projetado para ambientes de pequeno porte com requisitos simples, não para ambientes corporativos de médio porte.

O ponto não óbvio aqui é a limitação de integração com Virtual WAN: muitos profissionais assumem que qualquer SKU do Azure Firewall pode ser usado em qualquer topologia, mas o Basic tem restrições explícitas de implantação que o excluem de cenários hub-and-spoke com Virtual WAN.

Gabarito — Questão 4

Resposta: C

O Azure Firewall Basic foi criado especificamente para cenários de menor complexidade e custo. Ele suporta regras de rede, regras de aplicação e Threat Intelligence em modo de alerta, cobrindo todos os requisitos listados. Seu modelo de preço é significativamente inferior ao Standard, tornando-o a escolha mais eficiente para o contexto descrito.

A alternativa A superestima a diferença de custo e ignora que o Basic já cobre os requisitos funcionais descritos. A alternativa B está incorreta: associar uma política Basic a um SKU Premium não reduz o custo do firewall; a cobrança é pelo recurso de firewall implantado, independentemente do tier da política. A alternativa D está errada: o Azure Firewall Basic suporta plenamente regras de aplicação, sendo essa uma das suas capacidades documentadas.

Gabarito — Questão 5

Resposta: B

IDPS é uma funcionalidade exclusiva do Azure Firewall Premium. Ela permite detectar e bloquear padrões de tráfego malicioso com base em um conjunto de assinaturas gerenciadas pela Microsoft, operando em modo de alerta, de alerta e bloqueio, ou desabilitado por categoria de ameaça. Os SKUs Basic e Standard não oferecem IDPS em nenhuma forma.

A alternativa A está errada porque o Standard não possui IDPS em nenhum modo. A alternativa C está errada pelo mesmo motivo: não há graduação de assinaturas entre SKUs, pois apenas o Premium tem IDPS. A alternativa D descreve corretamente o comportamento de configuração do IDPS no Premium em relação aos modos de operação, mas erra ao afirmar que o modo de alerta é o padrão: o comportamento padrão depende da configuração da política, e o modo pode ser definido por categoria de ameaça individualmente. A alternativa B é a única afirmação tecnicamente precisa sobre a disponibilidade do recurso.