19 de junho de 20265 min de leitura

Guia de Migração do Azure Firewall Explicit Proxy: o que muda e como se preparar

Banner - Guia de Migração do Azure Firewall Explicit Proxy: o que muda e como se preparar

O Azure Firewall explicit proxy está saindo de preview e se prepara para disponibilidade geral (GA). Para empresas brasileiras que dependem de roteamento explícito de tráfego — seja para controle de saída, inspeção SSL ou compliance — essa mudança traz impactos diretos na arquitetura de rede. O principal: a partir da GA, o uso de PAC file (Proxy Auto-Configuration) exigirá armazenamento gerenciado pelo cliente no Azure Storage com autenticação via Managed Identity. Adeus ao modelo anterior de configuração direta; a segurança agora é mandatória.

TL;DR: A Microsoft está promovendo o Azure Firewall explicit proxy de preview para GA, introduzindo mudanças obrigatórias: limite de 256 KB para PAC files, unificação de portas HTTP/HTTPS e, principalmente, a exigência de um SAS URL em Azure Storage e uma Managed Identity com permissões de leitura. Este guia prático mostra o passo a passo para migrar sua configuração atual via portal, PowerShell ou Azure CLI, com foco em segurança e governança.

O que é o Azure Firewall explicit proxy?

Por padrão, o Azure Firewall opera em modo transparente, onde o tráfego é redirecionado via User-Defined Route (UDR). No modo explícito, você configura o proxy diretamente nas aplicações (navegadores, APIs, serviços) apontando para o IP privado do firewall. Isso elimina a necessidade de UDRs para o tráfego de saída, simplificando o roteamento em cenários onde o cliente precisa saber que está usando um proxy.

Para quem usa o explicit proxy em preview, o cenário atual ainda permite configurações menos seguras. A partir da GA, isso muda.

O que está mudando no Azure Firewall explicit proxy?

A Microsoft anunciou cinco alterações principais:

  • Limite de tamanho do PAC file: agora restrito a 256 KB. Arquivos maiores precisarão ser otimizados.
  • Unificação de portas: uma única porta proxy atenderá tráfego HTTP e HTTPS. O antigo modelo dual-port (explicit proxy v1) foi removido.
  • Ativação direta no portal: você pode habilitar o explicit proxy diretamente ao criar uma Firewall Policy, sem passos extras.
  • Obrigatoriedade de SAS URL e Managed Identity: após a GA, será exigido um SAS URL para o PAC file armazenado em Azure Storage, junto com uma Managed Identity (prefixo obrigatório PacFileMSI-) e as devidas role assignments (Storage Blob Data Reader e Storage Blob Data Contributor).

Para o time de engenharia brasileiro, isso significa um passo adicional de infraestrutura como código (IaC) e governança de identidade. Não é apenas uma mudança de configuração — é um novo padrão de segurança.

Como migrar sua configuração atual?

Siga os passos abaixo para migrar do modelo antigo para o novo padrão com Azure Storage e Managed Identity.

Passo 1: Criar um SAS URL para o PAC File

  1. Crie um container no Azure Storage (use uma assinatura com permissões para adicionar roles).
  2. Faça upload do PAC file para o container.

Upload PAC file

  1. Selecione o arquivo e copie a URL. Exemplo: https://eproxypstestresources.blob.core.windows.net/explicitproxycontainer/proxy.pac

Copiar URL do PAC

Passo 2: Criar uma Managed Identity e atribuir as roles necessárias

  1. Navegue até a blade Managed Identity e crie uma identidade gerenciada atribuída pelo usuário.
  2. Acesse o Storage Account criado, vá em Access Control (IAM) e adicione uma role assignment.
  3. Pesquise e selecione Storage Blob Data Contributor e Storage Blob Data Reader.

Seleção de roles

  1. Em Members, escolha Managed Identity e selecione a identidade criada. Revise e clique em Assign.

Atribuição de identidade

  1. Verifique se a role assignment foi refletida e certifique-se de que o prefixo da Managed Identity é "PacFileMSI-".

Verificação de roles

Precisa de ajuda para planejar essa migração sem impacto na operação? Conheça as soluções de cloud e segurança da Nuvem Online.

Configuração via Portal, PowerShell e Azure CLI

Portal

Após obter o SAS URL e a Managed Identity, habilite o PAC file na configuração do explicit proxy fornecendo a URL e selecionando a identidade.

Configuração no portal

PowerShell

Crie a Firewall Policy com as configurações de explicit proxy:

$exProxy = New-AzFirewallPolicyExplicitProxy `
  -EnableExplicitProxy `
  -HttpPort 100 `
  -EnablePacFile `
  -PacFilePort 130 `
  -PacFile "https://sampleurlfortesting.blob.core.windows.net/container/proxy.pac"

Atualize a Firewall Policy associando a Managed Identity:

New-AzFirewallPolicy `
  -Name "fp1" `
  -ResourceGroupName "TestRg" `
  -ExplicitProxy $exProxy `
  -UserAssignedIdentityId "/subscriptions/e7eb2257-46e4-4826-94df-153853fea38f/resourcegroups/testrg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PacFileMSI-eproxyidentity"

Azure CLI

Criação da Firewall Policy:

az network firewall policy create -g "testrg" -n "testfwpolicy" --sku Premium --explicit-proxy enable-explicit-proxy=true http-port=9001 enable-pac-file=true pac-file-port=122 pac-file="https://eproxypstestresources.blob.core.windows.net/explicitproxycontainer/proxy.pac" --identity "Identity_ID"

Atualização:

az network firewall policy update -g "testrg" -n "testfwpolicy" --explicit-proxy enable-explicit-proxy=true http-port=9001 enable-pac-file=true pac-file-port=124 pac-file="https://eproxypstestresources.blob.core.windows.net/explicitproxycontainer/proxy.pac" --identity "Identity_ID"

Perguntas Frequentes

  • Preciso migrar minha configuração antes da GA?
    Sim. Após a GA, o modelo antigo (explicit proxy v1 com dual-port) deixará de funcionar. A Microsoft exige o novo método com PAC file SAS URL e Managed Identity. Recomenda-se planejar a migração o quanto antes para evitar indisponibilidade.

  • O que acontece se eu não utilizar uma Managed Identity?
    A partir da GA, a Managed Identity será obrigatória para autenticação segura no armazenamento do PAC file. Sem ela, o explicit proxy não conseguirá recuperar o arquivo de configuração, interrompendo o roteamento explícito de tráfego.

  • Posso continuar usando as duas portas separadas (HTTP e HTTPS) após a migração?
    Não. O novo modelo unifica o tráfego HTTP e HTTPS em uma única porta de proxy. A configuração dual-port foi removida. Você deve ajustar as aplicações clientes para usar uma única porta definida no Firewall Policy.

  • O tamanho do PAC file é limitado?
    Sim. A partir de agora, o PAC file não pode exceder 256 KB. Se você utiliza arquivos maiores, será necessário otimizar ou dividir as regras de proxy antes de migrar.

  • Como testar a migração sem impacto na produção?
    Crie um novo Firewall Policy separado com as configurações atualizadas e associe-o a um ambiente de teste. Utilize o portal, PowerShell ou CLI para aplicar as mudanças e valide o comportamento do tráfego antes de promover para produção.

Artigo originalmente publicado em Azure Updates - Latest from Azure Charts.

Tags:
#AzureFirewall#ExplicitProxy#Migração#PACFile#ManagedIdentity#AzureNetworking
Gostou? Compartilhe:

Você também pode gostar

Opções de Conectividade Cross-Region no Microsoft Foundry: Padrões, Tradeoffs e uma Implementação com APIM em VNet

Opções de Conectividade Cross-Region no Microsoft Foundry: Padrões, Tradeoffs e uma Implementação com APIM em VNet

OKE com RDMA e Compute Clusters: o que muda para IA distribuída no Brasil?

OKE com RDMA e Compute Clusters: o que muda para IA distribuída no Brasil?

Precisa de ajuda?Fale com nossos especialistas 👋
Avatar Walcew - Headset