Общие сведения о поставщиках партнера по безопасности
Поставщики партнера по безопасности в Диспетчере брандмауэра Azure позволяют использовать привычные и лучшие в своем классе решения "безопасности как услуги" (SECaaS) от сторонних поставщиков для защиты доступа ваших пользователей к Интернету.
Быстрая настройка позволяет защитить центр с помощью поддерживаемого партнера по безопасности, а также перенаправлять и фильтровать Интернет-трафик из виртуальных сетей или расположений филиалов в регионе. Это можно сделать с помощью автоматического управления маршрутами без настройки определяемых пользователем маршрутов (UDR) и управления ими.
Вы можете развернуть защищенные центры, настроенные с помощью выбранного партнера по безопасности в нескольких регионах Azure, чтобы обеспечить подключение и безопасность пользователей из любой точки земного шара в этих регионах. Благодаря возможности использовать предложение партнера по безопасности для трафика приложений Интернета или SaaS, а также брандмауэр Azure для частного трафика в защищенных центрах, теперь можно приступить к созданию границы безопасности в Azure, близкой к глобально распределенным пользователям и приложениям.
Поддерживаемые партнеры по безопасности — Zscaler, Check Point и iboss.
Обзор Zscaler см. в видео Джека Трейси:
Основные сценарии
Партнеров по безопасности можно использовать для фильтрации трафика Интернета в следующих случаях:
Виртуальная сеть — Интернет
Используйте расширенную защиту интернет-трафика с учетом пользователей для облачных рабочих нагрузок в Azure.
Филиал — Интернет
Используйте возможности подключения и глобального распространения Azure, чтобы легко добавлять сторонние фильтры NSaaS для трафика филиалов в Интернете. Вы можете создать глобальную транзитную сеть и безопасность с помощью виртуальной глобальной сети Azure.
Поддерживаются следующие сценарии:
Два поставщика безопасности в концентраторе
Подключение виртуальных сетей и филиалов к Интернету через поставщика партнера по безопасности и прочий трафик (от периферийной сети к периферийной, от периферийной сети к филиалу, от филиала к периферийной сети) через брандмауэр Azure.
Один поставщик в концентраторе
- Весь трафик (от периферийной сети к периферийной, от периферийной сети к филиалу, от филиала к периферийной сети, от виртуальных сетей и филиалов к Интернету), защищается брандмауэром Azure
или - Подключение к виртуальной сети или филиала к Интернету через поставщика партнеров по безопасности
- Весь трафик (от периферийной сети к периферийной, от периферийной сети к филиалу, от филиала к периферийной сети, от виртуальных сетей и филиалов к Интернету), защищается брандмауэром Azure
Рекомендации по фильтрации трафика Интернета в защищенных виртуальных концентраторах
Трафик Интернета обычно включает веб-трафик. Но он также включает трафик, предназначенный для приложений SaaS, таких как Microsoft 365 и общедоступные службы PaaS Azure, такие как Служба хранилища Azure, SQL Azure и т. д. Ниже приведены рекомендации по обработке трафика для этих служб.
Обработка трафика PaaS Azure
Используйте брандмауэр Azure для защиты, если ваш трафик состоит в основном из трафика PaaS Azure, а доступ к ресурсам для приложений можно фильтровать с помощью IP-адресов, полных доменных имен, тегов служб или тегов полного доменного имени.
Используйте стороннее решение на своих концентраторах, если ваш трафик состоит из доступа к приложениям SaaS, или требуется фильтрация с учетом пользователей (например, для рабочих нагрузок инфраструктуры виртуальных рабочих столов (VDI)) или требуются расширенные возможности фильтрации в Интернете.
Обработка трафика Microsoft 365
В сценариях с глобально распределенным расположением филиалов следует перенаправлять трафик Microsoft 365 непосредственно филиалам перед отправкой оставшегося Интернет-трафика защищенному концентратору Azure.
Для Microsoft 365 задержка и производительность сети являются критически важными для успешного взаимодействия с пользователем. Чтобы достичь этих целей по оптимизации производительности и взаимодействия с пользователем, клиенты должны реализовать прямую и локальную escape-последовательности Microsoft 365 перед рассмотрением маршрутизации оставшейся части Интернет-трафика через Azure.
Принципы сетевого подключения Microsoft 365 требуют локальной маршрутизации ключевых сетевых подключений Microsoft 365 из пользовательского филиала или мобильного устройства непосредственно через Интернет к ближайшей сетевой точке присутствия Майкрософт.
Кроме того, подключения Microsoft 365 шифруются для обеспечения конфиденциальности и используют эффективные, частные протоколы для повышения производительности. Это делает подчинение этих подключений традиционным решениям безопасности на уровне сети непрактичным. По этим причинам мы настоятельно рекомендуем клиентам отправлять трафик Microsoft 365 непосредственно из филиалов перед отправкой оставшейся части трафика через Azure. Корпорация Майкрософт взаимодействует с несколькими поставщиками решений SD-WAN, которые интегрируются с Azure и Microsoft 365 и облегчают пользователям поддержку прямого и локального выхода Microsoft 365 в Интернет. Дополнительные сведения см. в статье Общие сведения о Виртуальной глобальной сети Azure?