Een beveiligingspartnerprovider implementeren

Met beveiligingspartnerproviders in Azure Firewall Manager kunt u uw vertrouwde SECaaS-aanbiedingen (Security-as-a-Service) van derden gebruiken om internettoegang voor uw gebruikers te beveiligen.

Zie Wat zijn beveiligingspartnerproviders? voor best practice over ondersteunde scenario's en richtlijnen.

Geïntegreerde SECaaS-partners (Security as a Service) van derden zijn nu beschikbaar:

• Zscaler
• Check Point
• iboss

Een externe beveiligingsprovider implementeren in een nieuwe hub

Sla deze sectie over als u een externe provider implementeert in een bestaande hub.

1. Meld u aan bij Azure Portal op https://portal.azure.com.
2. Typ in Zoeken Firewall Manager selecteer deze onder Services.
3. Navigeer naar Aan de slag. Selecteer Beveiligde virtuele hubs weergeven.
4. Selecteer Nieuwe beveiligde virtuele hub maken.
5. Voer uw abonnement en resourcegroep in, selecteer een ondersteunde regio en voeg uw hub- en virtuele WAN-gegevens toe.
6. Selecteer VPN-gateway opnemen om Providers van beveiligingspartners in te schakelen.
7. Selecteer de gatewayschaaleenheden die geschikt zijn voor uw vereisten.
8. Selecteer Volgende: Azure Firewall

   Notitie

   Beveiligingspartnerproviders maken verbinding met uw hub met behulp VPN Gateway tunnels. Als u de VPN Gateway, gaan de verbindingen met uw beveiligingspartnerproviders verloren.

9. Als u een implementatie wilt Azure Firewall om privéverkeer te filteren, samen met de externe serviceprovider om internetverkeer te filteren, selecteert u een beleid voor Azure Firewall. Zie de ondersteunde scenario's.
10. Als u alleen een externe beveiligingsprovider in de hub wilt implementeren, selecteert u Azure Firewall: Ingeschakeld/Uitgeschakeld om deze in te stellen op Uitgeschakeld.
11. Selecteer Volgende: Provider van beveiligingspartner.
12. Stel Security Partner Provider in op Ingeschakeld.
13. Selecteer een partner.
14. Selecteer Volgende: Beoordelen en maken.
15. Controleer de inhoud en selecteer vervolgens Maken.

De implementatie van de VPN-gateway kan meer dan 30 minuten duren.

Als u wilt controleren of de hub is gemaakt, gaat u naar Azure Firewall Manager->Beveiligde hubs. Selecteer de hub->overzichtspagina om de partnernaam en de status beveiligingsverbinding in behandeling weer te geven.

Zodra de hub is gemaakt en de beveiligingspartner is ingesteld, gaat u door om de beveiligingsprovider te verbinden met de hub.

Een externe beveiligingsprovider implementeren in een bestaande hub

U kunt ook een bestaande hub in een Virtual WAN en deze converteren naar een beveiligde virtuele hub.

1. Selecteer in Aan de slag beveiligde virtuele hubs weergeven.
2. Selecteer Bestaande hubs converteren.
3. Selecteer een abonnement en een bestaande hub. Volg de overige stappen voor het implementeren van een externe provider in een nieuwe hub.

Houd er rekening mee dat een VPN-gateway moet worden geïmplementeerd om een bestaande hub te converteren naar een beveiligde hub met externe providers.

Externe beveiligingsproviders configureren om verbinding te maken met een beveiligde hub

Als u tunnels wilt instellen voor de VPN Gateway van uw virtuele hub, hebben externe providers toegangsrechten voor uw hub nodig. Hiervoor koppelt u een service-principal aan uw abonnement of resourcegroep en verleent u toegangsrechten. Vervolgens moet u deze referenties aan de derde partij geven via de portal.

Een service-principal maken en autor toestemming geven

1. Een Azure Active Directory (AD)-service-principal maken: u kunt de omleidings-URL overslaan.

   Procedure: Gebruik de portal voor het maken van een Azure AD-toepassing en service-principal die toegang hebben tot resources

2. Voeg toegangsrechten en -bereik toe voor de service-principal. Procedure: Gebruik de portal voor het maken van een Azure AD-toepassing en service-principal die toegang hebben tot resources

   Notitie

   U kunt de toegang beperken tot alleen uw resourcegroep voor gedetailleerdere controle.

Ga naar partnerportal

1. Volg de instructies van uw partner om de installatie te voltooien. Dit omvat het verzenden van AAD om de hub te detecteren en er verbinding mee te maken, het beleid voor uit te voeren gegevens bij te werken en de verbindingsstatus en logboeken te controleren.

   • Zscaler: configureer Microsoft Azure Virtual WAN integratie.
   • Check Point: Configureer Microsoft Azure Virtual WAN integratie.
   • iboss: configureer Microsoft Azure Virtual WAN integratie.

2. U kunt de status van het maken van de tunnel bekijken op Azure Virtual WAN portal in Azure. Zodra de tunnels zijn verbonden op zowel Azure als de partnerportal, gaat u verder met de volgende stappen om routes in te stellen om te selecteren welke vertakkingen en VNets internetverkeer naar de partner moeten verzenden.

Beveiliging configureren met Firewall Manager

1. Blader naar de Azure Firewall Manager -> Beveiligde hubs.

2. Selecteer een hub. De hubstatus moet nu Ingericht zijn in plaats van Beveiligingsverbinding in behandeling.

   Zorg ervoor dat de externe provider verbinding kan maken met de hub. De tunnels op de VPN-gateway moeten de status Verbonden hebben. Deze status komt meer terug op de verbindingsstatus tussen de hub en de externe partner, vergeleken met de vorige status.

3. Selecteer de hub en navigeer naar Beveiligingsconfiguraties.

   Wanneer u een externe provider in de hub implementeert, wordt de hub omgezet in een beveiligde virtuele hub. Dit zorgt ervoor dat de externe provider een route van 0.0.0.0/0 (standaard) naar de hub adverteert. VNet-verbindingen en -sites die zijn verbonden met de hub krijgen deze route echter niet, tenzij u zich bij welke verbindingen deze standaardroute moet krijgen.

   Notitie

   Maak niet handmatig een route van 0.0.0.0/0 (standaard) via BGP voor filialen. Dit wordt automatisch gedaan voor beveiligde implementaties van virtuele hubs met externe beveiligingsproviders. Hierdoor kan het implementatieproces worden breekt.

4. Configureer de beveiliging van virtual WAN door internetverkeer via Azure Firewall en privéverkeer via een vertrouwde beveiligingspartner in te stellen. Hierdoor worden afzonderlijke verbindingen in de Virtual WAN.

   

5. Als uw organisatie openbare IP-adresbereiken in virtuele netwerken en filialen gebruikt, moet u die IP-voorvoegsels ook expliciet opgeven met voorvoegsels voor privéverkeer. De voorvoegsels van het openbare IP-adres kunnen afzonderlijk of als aggregaten worden opgegeven.

   Als u niet-RFC1918-adressen gebruikt voor uw voorvoegsels voor privéverkeer, moet u mogelijk SNAT-beleid voor uw firewall configureren om SNAT uit te schakelen voor niet-RFC1918-privéverkeer. Standaard worden alle niet Azure Firewall RFC1918-verkeer door SNAT's geseed.

Vertakkings- of VNet-internetverkeer via service van derden

Vervolgens kunt u controleren of virtuele VNet-machines of de vertakkingssite toegang hebben tot internet en controleren of het verkeer naar de service van derden stroomt.

Nadat de stappen voor het instellen van de route zijn doorlopen, worden de virtuele VNet-machines en de filialen 0/0 verzonden naar de serviceroute van derden. U kunt geen RDP of SSH in deze virtuele machines gebruiken. Als u zich wilt aanmelden, kunt u de Azure Bastion-service implementeren in een peered VNet.

Volgende stappen

• Zelfstudie: uw cloudnetwerk beveiligen met Azure Firewall Manager via de Azure-portal