Distribuera en säkerhetspartnerprovider

Med säkerhetspartnerproviders i Azure Firewall Manager kan du använda dina välbekanta SECaaS-erbjudanden (Security as a Service) från tredje part för att skydda Internetåtkomsten för dina användare.

Mer information om scenarier som stöds och riktlinjer för bästa praxis finns i Vad är säkerhetspartnerproviders?

Integrerade SECaaS-partner (Security as a Service) från tredje part är nu tillgängliga:

• Zscaler
• Check Point
• iboss

Distribuera en tredjepartssäkerhetsprovider i en ny hubb

Hoppa över det här avsnittet om du distribuerar en tredjepartsleverantör till en befintlig hubb.

1. Logga in på Azure Portal på https://portal.azure.com.
2. I Sök skriver du Firewall Manager väljer den under Tjänster.
3. Gå till Komma igång. Välj Visa skyddade virtuella hubbar.
4. Välj Skapa ny skyddad virtuell hubb.
5. Ange din prenumeration och resursgrupp, välj en region som stöds och lägg till din hubb- och virtual WAN-information.
6. Välj Inkludera VPN-gateway för att aktivera Säkerhetspartnerproviders.
7. Välj de gatewayskalningsenheter som passar dina behov.
8. Välj Nästa: Azure Firewall

   Anteckning

   Säkerhetspartnerproviders ansluter till din hubb VPN Gateway tunnlar. Om du tar bort VPN Gateway förloras anslutningarna till dina säkerhetspartnerproviders.

9. Om du vill distribuera Azure Firewall för att filtrera privat trafik tillsammans med tredjepartsleverantör för att filtrera Internettrafik, väljer du en princip för Azure Firewall. Se de scenarier som stöds.
10. Om du bara vill distribuera en säkerhetsprovider från tredje part i hubben väljer du Azure Firewall: Aktiverad/Inaktiverad för att ställa in den på Inaktiverad.
11. Välj Nästa: Säkerhetspartnerprovider.
12. Ange Säkerhetspartnerprovider till Aktiverad.
13. Välj en partner.
14. Välj Nästa: Granska + skapa.
15. Granska innehållet och välj sedan Skapa.

Distributionen av VPN-gatewayen kan ta mer än 30 minuter.

Kontrollera att hubben har skapats genom att gå till Azure Firewall Manager >Säkra hubbar. Välj sidan hub->Overview (Översikt) för att visa partnernamnet och statusen Security Connection Pending (Säkerhetsanslutning väntar).

När hubben har skapats och säkerhetspartnern har ställts in fortsätter du med att ansluta säkerhetsprovidern till hubben.

Distribuera en säkerhetsprovider från tredje part i en befintlig hubb

Du kan också välja en befintlig hubb i en Virtual WAN och konvertera den till en skyddad virtuell hubb.

1. I Komma igång väljer du Visa skyddade virtuella hubbar.
2. Välj Konvertera befintliga hubbar.
3. Välj en prenumeration och en befintlig hubb. Följ resten av stegen för att distribuera en tredjepartsleverantör i en ny hubb.

Kom ihåg att en VPN-gateway måste distribueras för att konvertera en befintlig hubb till en skyddad hubb med tredjepartsleverantörer.

Konfigurera säkerhetsproviders från tredje part för att ansluta till en säker hubb

För att konfigurera tunnlar till din virtuella hubbs VPN Gateway tredjepartsleverantörer åtkomstbehörighet till hubben. Det gör du genom att associera ett huvudnamn för tjänsten med din prenumeration eller resursgrupp och bevilja åtkomstbehörigheter. Du måste sedan ge dessa autentiseringsuppgifter till tredje part med hjälp av deras portal.

Skapa och auktorisera ett huvudnamn för tjänsten

1. Skapa Azure Active Directory (AD) tjänstens huvudnamn: Du kan hoppa över omdirigerings-URL:en.

   Anvisningar: Använd portalen för att skapa ett Azure AD-program och huvudnamn för tjänsten som kan komma åt resurser

2. Lägg till åtkomstbehörigheter och omfång för tjänstens huvudnamn. Anvisningar: Använd portalen för att skapa ett Azure AD-program och huvudnamn för tjänsten som kan komma åt resurser

   Anteckning

   Du kan begränsa åtkomsten till endast din resursgrupp för mer detaljerad kontroll.

Gå till partnerportalen

1. Slutför konfigurationen genom att följa instruktionerna från din partner. Detta omfattar att AAD information för att identifiera och ansluta till hubben, uppdatera utgående principer och kontrollera anslutningsstatus och loggar.

   • Zscaler: Konfigurera Microsoft Azure Virtual WAN integrering.
   • Check Point: Konfigurera Microsoft Azure Virtual WAN integrering .
   • iboss: Konfigurera Microsoft Azure Virtual WAN integrering.

2. Du kan titta på statusen för tunnelskapande på Azure Virtual WAN portalen i Azure. När tunnlarna visar anslutna på både Azure och partnerportalen fortsätter du med nästa steg för att konfigurera vägar för att välja vilka grenar och virtuella nätverk som ska skicka Internettrafik till partnern.

Konfigurera säkerhet med Firewall Manager

1. Bläddra till Azure Firewall Manager -> Säkra hubbar.

2. Välj en hubb. Hubbstatusen bör nu visa Provisioned (Etablerat) i stället för Security Connection Pending (Väntande säkerhetsanslutning).

   Se till att tredjepartsleverantören kan ansluta till hubben. Tunnlarna på VPN-gatewayen ska vara i ett anslutet tillstånd. Det här tillståndet återspeglar anslutningshälsan mellan hubben och tredjepartspartnern mer än tidigare status.

3. Välj hubben och gå till Säkerhetskonfigurationer.

   När du distribuerar en tredjepartsleverantör till hubben konverteras hubben till en skyddad virtuell hubb. Detta säkerställer att tredjepartsleverantören annonserar en 0.0.0.0/0-väg (standard) till hubben. VNet-anslutningar och platser som är anslutna till hubben får dock inte den här vägen om du inte väljer vilka anslutningar som ska få den här standardvägen.

   Anteckning

   Skapa inte manuellt en 0.0.0.0/0-väg (standard) över BGP för grenannonseringar. Detta görs automatiskt för säkra distributioner av virtuella hubbar med tredjeparts säkerhetsleverantörer. Om du gör det kan distributionsprocessen brytas.

4. Konfigurera virtual WAN-säkerhet genom att ange Internettrafik via Azure Firewall och privat trafik via en betrodd säkerhetspartner. Detta skyddar automatiskt enskilda anslutningar i Virtual WAN.

   

5. Om din organisation använder offentliga IP-intervall i virtuella nätverk och avdelningskontor måste du dessutom uttryckligen ange dessa IP-prefix med hjälp av privata trafikprefix. De offentliga IP-adressprefixen kan anges individuellt eller som aggregeringar.

   Om du använder icke-RFC1918-adresser för dina privata trafikprefix kan du behöva konfigurera SNAT-principer för brandväggen för att inaktivera SNAT för privat trafik som inte är RFC1918. Som standard Azure Firewall SNAT all icke-RFC1918-trafik.

Branch- eller VNet-Internettrafik via tredjepartstjänst

Därefter kan du kontrollera om virtuella VNet-datorer eller grenplatsen kan komma åt Internet och kontrollera att trafiken flödar till tjänsten från tredje part.

När du har avslutat stegen för väginställningen skickas de virtuella VNet-datorerna och avdelningsplatserna en 0/0 till tjänstvägen från tredje part. Du kan inte använda RDP eller SSH i dessa virtuella datorer. Om du vill logga in kan du distribuera Azure Bastion i ett peer-peer-vnet.

Nästa steg

• Självstudie: Skydda ditt molnnätverk med Azure Firewall Manager med hjälp av Azure Portal