Wat zijn beveiligingspartnerproviders?
Met beveiligingspartnerproviders in Azure Firewall Manager kunt u uw vertrouwde SECaaS-aanbiedingen (Security as a Service) van derden gebruiken om internettoegang voor uw gebruikers te beveiligen.
Met een snelle configuratie kunt u een hub beveiligen met een ondersteunde beveiligingspartner en internetverkeer van uw virtuele netwerken (VNet's) of vertakkingslocaties binnen een regio routeer en filteren. U kunt dit doen met geautomatiseerd routebeheer, zonder door de gebruiker gedefinieerde routes (UDR's) in te stellen en te beheren.
U kunt beveiligde hubs implementeren die zijn geconfigureerd met de beveiligingspartner van uw keuze in meerdere Azure-regio's voor connectiviteit en beveiliging voor uw gebruikers overal ter wereld in deze regio's. Met de mogelijkheid om het aanbod van de beveiligingspartner te gebruiken voor internet-/SaaS-toepassingsverkeer en Azure Firewall voor privéverkeer in de beveiligde hubs, kunt u nu beginnen met het bouwen van uw beveiligingsrand in Azure, dicht bij uw wereldwijd gedistribueerde gebruikers en toepassingen.
De ondersteunde beveiligingspartners zijn Zscaler, Check Point en iboss.
Zie de volgende video van Jack Tracey voor een overzicht van Zscaler:
Belangrijke scenario's
U kunt de beveiligingspartners gebruiken om internetverkeer te filteren in de volgende scenario's:
Virtual Network (VNet)-naar-internet
Gebruik geavanceerde gebruikersbewuste internetbeveiliging voor uw cloudworkloads die worden uitgevoerd in Azure.
Vertakking naar internet
Gebruik uw Azure-connectiviteit en wereldwijde distributie om eenvoudig NSaaS-filtering van derden toe te voegen voor vertakkings-naar-internet-scenario's. U kunt uw wereldwijde doorvoernetwerk en beveiligingsrand bouwen met behulp Azure Virtual WAN.
De volgende scenario's worden ondersteund:
Twee beveiligingsproviders in de hub
VNet/vertakking-naar-internet via een beveiligingspartnerprovider en het andere verkeer (spoke-to-spoke, spoke-to-branch, branch-to-spoke) via Azure Firewall.
Eén provider in de hub
- Al het verkeer (spoke-to-spoke, spoke-to-branch, branch-to-spoke, VNet/Branch-to-Internet) beveiligd door Azure Firewall
of - VNet/vertakking naar internet via provider van beveiligingspartner
- Al het verkeer (spoke-to-spoke, spoke-to-branch, branch-to-spoke, VNet/Branch-to-Internet) beveiligd door Azure Firewall
Best practices voor filteren van internetverkeer in beveiligde virtuele hubs
Internetverkeer omvat doorgaans webverkeer. Maar het omvat ook verkeer dat is bestemd voor SaaS-toepassingen zoals Microsoft 365 en openbare PaaS-services van Azure, zoals Azure Storage, Azure Sql, en meer. Hier volgen enkele best practice voor het verwerken van verkeer naar deze services:
Azure PaaS-verkeer verwerken
Gebruik Azure Firewall voor beveiliging als uw verkeer voornamelijk bestaat uit Azure PaaS en de toegang tot resources voor uw toepassingen kan worden gefilterd met BEHULP van IP-adressen, FQDN's, servicetags of FQDN-tags.
Gebruik een externe partneroplossing in uw hubs als uw verkeer bestaat uit toegang tot SaaS-toepassingen of als u gebruikersbewust filteren nodig hebt (bijvoorbeeld voor uw VDI-workloads (Virtual Desktop Infrastructure) of als u geavanceerde filtermogelijkheden voor internet nodig hebt.
Afhandeling Microsoft 365 verkeer
In wereldwijd gedistribueerde vertakkingslocatiescenario's moet Microsoft 365 verkeer rechtstreeks bij de vertakking omleiden voordat u het resterende internetverkeer naar uw beveiligde Azure-hub stuurt.
Voor Microsoft 365 zijn netwerklatentie en prestaties essentieel voor een succesvolle gebruikerservaring. Om deze doelen met het doel optimale prestaties en gebruikerservaring te bereiken, moeten klanten Microsoft 365 directe en lokale escape implementeren voordat ze overwegen het restverkeer via Azure te routeren.
Microsoft 365 voor netwerkconnectiviteitsprincipes wordt vereist dat belangrijke Microsoft 365-netwerkverbindingen lokaal worden gerouteerd vanuit de gebruikerstak of het mobiele apparaat en rechtstreeks via internet naar het dichtstbijzijnde Microsoft-netwerkpunt.
Bovendien worden Microsoft 365 versleuteld voor privacy en worden efficiënte, eigen protocollen gebruikt om prestatieredenen. Dit maakt het onpraktisch en van invloed op het onderwerp van deze verbindingen met traditionele beveiligingsoplossingen op netwerkniveau. Daarom raden we klanten ten zeerste aan om Microsoft 365 verkeer rechtstreeks vanuit vertakkingen te verzenden voordat ze de rest van het verkeer via Azure verzenden. Microsoft werkt samen met verschillende SD-WAN-oplossingsproviders, die integreren met Azure en Microsoft 365 en het klanten gemakkelijk maken om Microsoft 365 direct en lokaal internet te gebruiken. Zie Wat is Azure Virtual WAN? voor meer Azure Virtual WAN?