Menyebarkan penyedia mitra keamanan

Penyedia mitra keamanan di Azure Firewall Manager memungkinkan Anda menggunakan penawaran keamanan sebagai layanan (SECaaS) pihak ketiga yang sudah tak asing lagi dan terbaik untuk melindungi akses Internet bagi pengguna Anda.

Untuk mempelajari selengkapnya tentang skenario yang didukung dan panduan praktik terbaik, lihat Apa itu penyedia mitra keamanan?

Mitra Keamanan pihak ketiga terpadu sebagai layanan (SECaaS) kini tersedia:

• Zscaler
• Check Point
• iboss

Menerapkan penyedia keamanan pihak ketiga di hub baru

Lewati bagian ini jika Anda menyebarkan penyedia pihak ketiga ke hub yang ada.

1. Masuk ke portal Azure.
2. Di Pencarian, ketik Firewall Manager dan pilih di bawah Layanan.
3. Navigasi ke Gambaran Umum. Pilih Lihat hub virtual yang aman.
4. Pilih Lihat hub virtual yang aman.
5. Masukkan grup langganan dan sumber daya Anda, pilih wilayah yang didukung, dan tambahkan informasi hub dan WAN virtual Anda.
6. Pilih Sertakan gateway VPN untuk mengaktifkan Penyedia Mitra Keamanan.
7. Pilih unit skala Gateway yang sesuai dengan kebutuhan Anda.
8. Pilih Berikutnya: Azure Firewall

   Catatan

   Penyedia mitra keamanan terhubung ke hub Anda menggunakan terowongan VPN Gateway. Jika Anda menghapus VPN Gateway, koneksi ke penyedia mitra keamanan Anda akan hilang.

9. Jika Anda ingin menyebarkan Azure Firewall untuk memfilter lalu lintas privat bersama dengan penyedia layanan pihak ketiga untuk memfilter lalu lintas Internet, pilih kebijakan untuk Azure Firewall. Lihat skenario yang didukung.
10. Jika Anda hanya ingin menerapkan penyedia keamanan pihak ketiga di hub, pilih Azure Firewall: Diaktifkan/Dinonaktifkan untuk mengaturnya ke Dinonaktifkan.
11. Pilih Berikutnya: Penyedia Mitra Keamanan.
12. Atur Penyedia Mitra Keamanan ke Diaktifkan.
13. Pilih mitra.
14. Pilih Berikutnya: Tinjau + buat.
15. Tinjau konten lalu pilih Buat.

Penyebaran gateway VPN dapat memakan waktu lebih dari 30 menit.

Untuk memverifikasi bahwa hub telah dibuat, navigasikan ke hub virtual aman Azure Firewall Manager-Overview-View>>. Anda melihat nama penyedia mitra keamanan dan status mitra keamanan sebagai Keamanan Koneksi ion Tertunda.

Setelah hub dibuat dan mitra keamanan disiapkan, lanjutkan untuk menghubungkan penyedia keamanan ke hub.

Menerapkan penyedia keamanan pihak ketiga di hub baru

Anda juga dapat memilih hub yang ada di Virtual WAN dan mengonversinya menjadi hub virtual yang aman.

1. Di Memulai, Gambaran Umum, pilih Tampilkan hub virtual aman.
2. Pilih Konversi hub yang ada.
3. Pilih langganan dan hub yang sudah ada. Ikuti langkah-langkah lain untuk menerapkan penyedia pihak ketiga di hub baru.

Ingat bahwa gateway VPN harus digunakan untuk mengonversi hub yang ada ke hub aman dengan penyedia pihak ketiga.

Mengonfigurasi penyedia keamanan pihak ketiga untuk tersambung ke hub aman

Untuk menyiapkan terowongan ke VPN Gateway hub virtual Anda, penyedia pihak ketiga memerlukan hak akses ke hub Anda. Untuk melakukan ini, kaitkan prinsipal layanan dengan langganan atau grup sumber daya Anda, dan berikan hak akses. Anda kemudian harus memberikan kredensial ini kepada pihak ketiga menggunakan portal mereka.

Catatan

Penyedia keamanan pihak ketiga membuat situs VPN atas nama Anda. Situs VPN ini tidak muncul di portal Microsoft Azure.

Membuat dan mengotorisasi prinsipal layanan

1. Membuat perwakilan layanan Microsoft Entra: Anda dapat melewati URL pengalihan.

   Cara: Gunakan portal untuk membuat aplikasi Microsoft Entra dan prinsipal layanan yang dapat mengakses sumber daya

2. Tambahkan hak akses dan ruang lingkup untuk kepala layanan. Cara: Gunakan portal untuk membuat aplikasi Microsoft Entra dan prinsipal layanan yang dapat mengakses sumber daya

   Catatan

   Anda hanya dapat membatasi akses ke grup sumber daya Anda untuk kontrol yang lebih terperinci.

Kunjungi portal mitra

1. Ikuti mitra Anda memberikan instruksi untuk menyelesaikan penyiapan. Ini termasuk mengirimkan informasi Microsoft Entra untuk mendeteksi dan menyambungkan ke hub, memperbarui kebijakan keluar, dan memeriksa status konektivitas dan log.

   • Zscaler: Mengonfigurasi integrasi Microsoft Azure Virtual WAN.
   • Check Point: Mengonfigurasi integrasi Microsoft Azure Virtual WAN.
   • iboss: Mengonfigurasi integrasi Microsoft Azure Virtual WAN.

2. Anda dapat melihat status pembuatan terowongan di portal Azure Virtual WAN di Azure. Setelah terowongan ditampilkan terhubung di Azure dan portal mitra, lanjutkan dengan langkah-langkah berikutnya untuk mengatur rute untuk memilih cabang dan VNet mana yang harus mengirim lalu lintas Internet ke mitra.

Mengonfigurasi keamanan dengan Firewall Manager

1. Telusuri Azure Firewall Manager-> Secured Hubs.

2. Pilih hub. Status hub sekarang akan menampilkan Disediakan alih-alih Koneksi Keamanan Tertunda.

   Pastikan penyedia pihak ketiga dapat terhubung ke hub. Terowongan di gateway VPN harus dalam keadaan Tersambung. Keadaan ini lebih mencerminkan kesehatan koneksi antara hub dan mitra pihak ketiga, dibandingkan dengan status sebelumnya.

3. Pilih hub, dan navigasi ke Konfigurasi Keamanan.

   Ketika Anda menyebarkan penyedia pihak ketiga ke hub, hub akan mengubah hub menjadi hub virtual yang aman. Ini memastikan bahwa penyedia pihak ketiga mengiklankan rute 0.0.0.0/0 (default) ke hub. Namun, koneksi jaringan virtual dan situs yang terhubung ke hub tidak mendapatkan rute ini kecuali Anda ikut serta dalam koneksi mana yang harus mendapatkan rute default ini.

   Catatan

   Jangan membuat rute 0.0.0.0/0 (default) secara manual melalui BGP untuk iklan cabang. Ini secara otomatis dilakukan untuk penyebaran hub virtual yang aman dengan penyedia keamanan pihak ke-3. Melakukan hal ini dapat merusak proses penyebaran.

4. Konfigurasikan keamanan WAN virtual dengan mengatur Lalu Lintas Internet melalui Azure Firewall dan Lalu Lintas Pribadi melalui mitra keamanan tepercaya. Ini secara otomatis mengamankan koneksi individual di Virtual WAN.

   

5. Selain itu, jika organisasi Anda menggunakan rentang IP publik di jaringan virtual dan kantor cabang, Anda perlu menentukan awalan IP tersebut secara eksplisit menggunakan Awalan Lalu Lintas Pribadi. Awalan IP publik dapat ditentukan secara individual atau agregat.

   Jika Anda menggunakan alamat non-RFC1918 untuk prefiks lalu lintas privat Anda, Anda mungkin perlu mengonfigurasi kebijakan SNAT untuk firewall Anda ke nonaktifkan SNAT untuk lalu lintas privat non-RFC1918. Secara default, Azure Firewall SNATs semua lalu lintas non-RFC1918.

Lalu lintas Internet cabang atau jaringan virtual melalui layanan pihak ketiga

Selanjutnya, Anda dapat memeriksa apakah komputer virtual jaringan virtual atau situs cabang dapat mengakses Internet dan memvalidasi bahwa lalu lintas mengalir ke layanan pihak ketiga.

Setelah Anda menyelesaikan langkah-langkah pengaturan rute, komputer virtual jaringan virtual dan situs cabang dikirim 0/0 ke rute layanan pihak ketiga. Anda tidak dapat RDP atau SSH ke mesin virtual ini. Untuk masuk, Anda dapat menyebarkan layanan Azure Bastion di jaringan virtual yang di-peering.

Konfigurasi aturan

Gunakan portal mitra untuk mengonfigurasi aturan firewall. Azure Firewall melewati lalu lintas.

Misalnya, Anda dapat mengamati lalu lintas yang diizinkan melalui Azure Firewall, meskipun tidak ada aturan eksplisit untuk mengizinkan lalu lintas. Ini karena Azure Firewall meneruskan lalu lintas ke penyedia mitra keamanan hop berikutnya (ZScalar, CheckPoint, atau iBoss). Azure Firewall masih memiliki aturan untuk mengizinkan lalu lintas keluar, tetapi nama aturan tidak dicatat.

Untuk informasi selengkapnya, lihat dokumentasi mitra.

Langkah berikutnya

• Tutorial: Mengamankan jaringan cloud Anda dengan Azure Firewall Manager menggunakan portal Microsoft Azure