Nasazení poskytovatele partnera pro zabezpečení

Poskytovatelé partnerů pro zabezpečení v Azure Firewall Manager umožňují používat známé a nejlepší nabídky zabezpečení jako služby (SECaaS) třetích stran k ochraně přístupu vašich uživatelů k internetu.

Další informace o podporovaných scénářích a pokynech k osvědčeným postupům najdete v tématu Co jsou poskytovatelé partnerů pro zabezpečení?

K dispozici jsou teď integrovaní partneři se zabezpečením jako služby (SECaaS):

• Zscaler
• Check Point
• iboss

Nasazení zprostředkovatele zabezpečení jiného výrobce v novém centru

Pokud nasazujete externího poskytovatele do existujícího centra, tuto část přeskočte.

1. Přihlaste se k webu Azure Portal na adrese https://portal.azure.com.
2. Do pole Hledat zadejte Firewall Manager a vyberte ho v části Služby.
3. Přejděte na Začínáme. Vyberte Zobrazit zabezpečená virtuální rozbočovače.
4. Vyberte Create new secured virtual hub (Vytvořit nové zabezpečené virtuální centrum).
5. Zadejte předplatné a skupinu prostředků, vyberte podporovanou oblast a přidejte informace o rozbočovači a virtuální síti WAN.
6. Výběrem možnosti Zahrnout bránu VPN povolte poskytovatele partnerů zabezpečení.
7. Vyberte jednotky škálování brány vhodné pro vaše požadavky.
8. Vyberte Další: Azure Firewall

   Poznámka

   Poskytovatelé partnerů zabezpečení se připojují k vašemu centru VPN Gateway tunely. Pokud odstraníte VPN Gateway, připojení k vašim poskytovatelům partnerů zabezpečení se ztratí.

9. Pokud chcete nasadit službu Azure Firewall filtrování privátního provozu spolu s poskytovatelem služeb třetí strany a filtrovat tak internetový provoz, vyberte zásadu pro Azure Firewall. Podívejte se na podporované scénáře.
10. Pokud chcete v centru nasadit pouze zprostředkovatele zabezpečení jiného výrobce, vyberte Azure Firewall: Povoleno/zakázáno a nastavte ho na Zakázáno.
11. Vyberte Další: Poskytovatel partnera pro zabezpečení.
12. Nastavte Poskytovatele partnerů zabezpečení na Povoleno.
13. Vyberte partnera.
14. Vyberte Další: Zkontrolovat a vytvořit.
15. Zkontrolujte obsah a pak vyberte Vytvořit.

Nasazení brány VPN může trvat déle než 30 minut.

Pokud chcete ověřit, že se centrum vytvořilo, přejděte Azure Firewall Manager zabezpečených >hubů. Vyberte stránku přehledu centra >, na které se zobrazí název partnera a stav Čekající na připojení zabezpečení.

Po vytvoření centra a nastavení partnera pro zabezpečení pokračujte a připojte poskytovatele zabezpečení k centru.

Nasazení externího zprostředkovatele zabezpečení v existujícím centru

Můžete také vybrat existující centrum v Virtual WAN a převést ho na zabezpečené virtuální centrum.

1. V Začínáme vyberte Zobrazit zabezpečená virtuální rozbočovače.
2. Vyberte Convert existing hubs (Převést existující rozbočovače).
3. Vyberte předplatné a existující centrum. Postupujte podle zbývajících kroků a nasaďte poskytovatele třetí strany do nového centra.

Mějte na paměti, že aby bylo možné převést existující centrum na zabezpečené centrum s externími poskytovateli, musí být nasazená brána VPN.

Konfigurace poskytovatelů zabezpečení třetích stran pro připojení k zabezpečenému centru

K nastavení tunelů k virtuálnímu VPN Gateway potřebují poskytovatelé třetích stran přístupová práva k vašemu centru. Chcete-li to provést, přidružte k předplatnému nebo skupině prostředků objekt služby a udělte přístupová práva. Tyto přihlašovací údaje pak musíte poskytnout třetí straně pomocí jejich portálu.

Vytvoření a autorizace objektu služby

1. Vytvoření Azure Active Directory služby (AD): Adresu URL pro přesměrování můžete přeskočit.

   Postup: Vytvoření aplikace Azure AD a instančního objektu s přístupem k prostředkům pomocí portálu

2. Přidejte přístupová práva a obor pro objekt služby. Postup: Vytvoření aplikace Azure AD a instančního objektu s přístupem k prostředkům pomocí portálu

   Poznámka

   Pro podrobnější kontrolu můžete omezit přístup jenom na vaši skupinu prostředků.

Navštivte portál pro partnery.

1. Postupujte podle pokynů poskytnutých partnerem a dokončete nastavení. To zahrnuje odesílání AAD k detekci a připojení k centru, aktualizaci zásad pro odesílání dat a kontrole stavu připojení a protokolů.

   • Zscaler: Nakonfigurujte Microsoft Azure Virtual WAN integraci.
   • Check Point: Nakonfigurujte Microsoft Azure Virtual WAN integraci.
   • iboss: Nakonfigurujte Microsoft Azure Virtual WAN integraci.

2. Stav vytvoření tunelu se můžete podívat na portálu Azure Virtual WAN Azure. Jakmile se tunely zobrazí připojené v Azure i na partnerském portálu, pokračujte následujícími kroky a nastavte trasy pro výběr větví a virtuálních sítí, které mají partnerovi posílat internetový provoz.

Konfigurace zabezpečení pomocí Firewall Manager

1. Přejděte na web Azure Firewall Manager -> Zabezpečená centra.

2. Vyberte centrum. Ve stavu centra by se teď měla zobrazit stav Zřízeno místo Čekání na připojení zabezpečení.

   Ujistěte se, že se k centru může připojit poskytovatel třetí strany. Tunely v bráně VPN by měly být ve stavu Připojeno. Tento stav lépe odráží stav připojení mezi centrem a partnerem třetí strany v porovnání s předchozím stavem.

3. Vyberte centrum a přejděte na Konfigurace zabezpečení.

   Když do centra nasadíte poskytovatele třetí strany, převede centrum na zabezpečené virtuální centrum. Tím se zajistí, že poskytovatel třetí strany inzeruje do centra trasu 0.0.0.0/0 (výchozí). Připojení k virtuálním sítím a lokalitám připojeným k centru ale tuto trasu nezískaží, pokud nevyhodnete, která připojení by měla tuto výchozí trasu získat.

   Poznámka

   Nevytvářejte ručně trasu 0.0.0.0/0 (výchozí) přes protokol BGP pro inzerování větví. To se automaticky provádí pro zabezpečená nasazení virtuálních center s poskytovateli zabezpečení třetích stran. Tím může dojít k přerušení procesu nasazení.

4. Nakonfigurujte zabezpečení virtuální sítě WAN nastavením internetového provozu přes Azure Firewall a privátní provoz přes důvěryhodného partnera pro zabezpečení. Tím se automaticky zabezpečí jednotlivá připojení v Virtual WAN.

   

5. Pokud vaše organizace používá rozsahy veřejných IP adres ve virtuálních sítích a pobočkách, musíte tyto předpony IP adres zadat explicitně pomocí předpon privátního provozu. Předpony veřejných IP adres je možné zadat jednotlivě nebo jako agregace.

   Pokud pro předpony privátního provozu používáte jiné adresy než RFC1918, možná budete muset nakonfigurovat zásady SNAT pro vaši bránu firewall tak, aby se SNAT pro privátní přenosy jiné než RFC1918 zakažoval. Ve výchozím nastavení Azure Firewall všechny přenosy bez RFC1918.

Internetový provoz z pobočky nebo virtuální sítě přes službu třetí strany

Dále můžete zkontrolovat, jestli virtuální počítače virtuální sítě nebo pobočka mají přístup k internetu, a ověřit, že provoz proudí do služby třetí strany.

Po dokončení kroků nastavení trasy se virtuální počítače virtuální sítě a pobočky do trasy služby třetí strany odesílají 0/0. K těmto virtuálním počítačům se nelze pomocí RDP ani SSH dostat. Pokud se chcete přihlásit, můžete nasadit službu Azure Bastion v partnerské virtuální síti.

Další kroky

• Kurz: Zabezpečení cloudové sítě pomocí Azure Firewall Manager s využitím Azure Portal