.
A Microsoft está atualizando o Firewall do Azure para dar aos administradores uma ideia melhor do que está acontecendo quando o tráfego na nuvem diminui ou mostra um comportamento atípico.
Os recursos mais recentes – métrica de sondagem de latência, logs de rastreamento de fluxo e logs de fluxos principais – foram lançados em versão prévia e visam melhorar a capacidade do firewall como serviço do Azure de permitir que os administradores saibam por que o nível de desempenho na nuvem é flutuante, de acordo com Shabaz Shaik, gerente de produto II para engenharia de segurança em nuvem e segurança de rede Azure na Microsoft.
O Firewall do Azure fica entre o servidor de aplicativos e o usuário final, monitorando o tráfego de aplicativos e garantindo que as políticas de segurança para o tráfego sejam aplicadas, Shaik escreveu. Dado que a Microsoft é o segundo maior provedor de serviços em nuvem do mundo atrás Amazon Web Services, há muito tráfego que passa pelos firewalls do Azure.
“No caso de qualquer latência ou desconexão do aplicativo, o firewall atua como um ótimo ponto para analisar esse tráfego e solucionar a causa raiz”, escreveu ele. “Azure Firewall agora oferece novos logs e aprimoramentos de métricas projetados para aumentar a visibilidade e fornecer mais informações sobre o tráfego processado pelo firewall.”
Um indicador-chave da integridade da rede é a velocidade com que o tráfego está se movendo, portanto, monitorar a latência é fundamental para detectar problemas no serviço, disse ele. A métrica Latency Probe é baseada na tecnologia Pingmesh, que mede e analisa as interações de rede em grandes datacenters.
Usando o Pingmesh, a métrica Latency Probe mede a latência média do próprio firewall – que Shaik escreveu é em média cerca de 1 m/s, embora varie com base no tamanho e no ambiente da implantação – e não na latência de ponta a ponta de pacotes individuais .
“Se o Firewall do Azure estiver com latência, pode ser devido a vários motivos, como alta utilização da CPU, taxa de transferência de tráfego ou problemas de rede”, escreveu Shaik.
O Firewall do Azure também registra os vários tipos de tráfego, incluindo rede, aplicativo e inteligência de ameaças. No entanto, agora os logs mostram apenas a primeira tentativa de uma conexão TCP – o pacote SYN – mas não todo o processo. Eles não veem todos os slugs de dados que passam pelo firewall ou se há problemas como pacotes sendo descartados ou tráfego passando por rotas assimétricas.
É aí que entram os logs do Flow Trace, escreveu Shaik. Rotas assimétricas podem ser causadas por erros como adicionar um comando errado no caminho do firewall. Os administradores podem consultar os logs de rede do primeiro pacote SYN e ativar o Flow Trace para ver mais sinalizadores para verificação, como SYN-ACK, FIN, RST e INVALID.
“Ao adicionar esses sinalizadores adicionais nos logs do Flow Trace, os administradores de TI agora podem ver o pacote de retorno se houver uma falha na conexão ou um pacote não reconhecido”, escreveu ele.
O recurso Top Flows vem de um ângulo ligeiramente diferente. O Azure Firewall Standard pode processar até 30 Gb/s e o Azure Firewall Premium até 100 Gb/s de tráfego de rede. Dito isso, os fluxos de tráfego podem ser volumosos com base no tamanho ou na duração dos pacotes, o que pode ter um efeito dominó em outros fluxos de tráfego e no processamento pelo firewall.
O log de Top Flows – também conhecido como Fat Flows – pode mostrar aos administradores de TI o que está gerando a maior largura de banda através do firewall. Os logs identificarão os principais fluxos de tráfego que passam pelo firewall e anomalias relacionadas ao tráfego e fornecerão aos administradores as informações necessárias para decidir se o tráfego deve ser permitido ou negado.
Shaik alertou que a execução do Top Flows pode consumir muito poder da CPU, recomendando que as organizações usem o recurso para problemas específicos e por não mais de uma semana por vez.
Os novos recursos do Azure Firewall vêm quando a Microsoft procura fornecer aos administradores que executam outras ferramentas mais métricas para identificar e abordar problemas de segurança e outros. Eles seguem alguns dias depois de Redmond revelado um novo painel para simplificar o acesso e a análise de dados de inteligência de ameaças, fornecendo aos administradores de segurança os dados para tomar decisões de segurança mais informadas. ®
.
