Vad är en säkerhetspartnerprovider?
Med säkerhetspartnerproviders i Azure Firewall Manager kan du använda dina välbekanta SECaaS-erbjudanden (Security as a Service) från tredje part för att skydda Internetåtkomsten för dina användare.
Med en snabb konfiguration kan du skydda en hubb med en säkerhetspartner som stöds och dirigera och filtrera Internettrafik från dina virtuella nätverk (VNet) eller grenplatser inom en region. Du kan göra detta med automatiserad väghantering utan att konfigurera och hantera användardefinierade vägar (UDR).
Du kan distribuera skyddade hubbar som konfigurerats med valfri säkerhetspartner i flera Azure-regioner för att få anslutningar och säkerhet för dina användare över hela världen i dessa regioner. Med möjligheten att använda säkerhetspartnerns erbjudande för Internet-/SaaS-programtrafik och Azure Firewall för privat trafik i de skyddade hubbarna kan du nu börja skapa din säkerhets edge i Azure som ligger nära dina globalt distribuerade användare och program.
De säkerhetspartner som stöds är Zscaler, Check Point och iboss.
Se följande video av Jack Tracey för en översikt över Zscaler:
Viktiga scenarier
Du kan använda säkerhetspartner för att filtrera Internettrafik i följande scenarier:
Virtual Network (VNet)-till-Internet
Använd avancerat användarmedvetet Internetskydd för dina molnarbetsbelastningar som körs i Azure.
Gren-till-Internet
Använd Din Azure-anslutning och global distribution för att enkelt lägga till NSaaS-filtrering från tredje part för scenarier för gren till Internet. Du kan skapa ditt globala överföringsnätverk och din säkerhets edge med Azure Virtual WAN.
Följande scenarier stöds:
Två säkerhetsproviders i hubben
VNet/Branch-to-Internet via en säkerhetspartnerprovider och annan trafik (spoke-to-spoke, spoke-to-branch, branch-to-spoke) via Azure Firewall.
Enskild provider i hubben
- All trafik (spoke-to-spoke, spoke-to-branch, branch-to-spoke, VNet/Branch-to-Internet) som skyddas av Azure Firewall
eller - VNet/Gren-till-Internet via säkerhetspartnerprovider
- All trafik (spoke-to-spoke, spoke-to-branch, branch-to-spoke, VNet/Branch-to-Internet) som skyddas av Azure Firewall
Metodtips för filtrering av Internettrafik i skyddade virtuella hubbar
Internettrafik omfattar vanligtvis webbtrafik. Men den innehåller även trafik till SaaS-program som Microsoft 365 och offentliga PaaS-tjänster i Azure som Azure Storage, Azure Sql och så vidare. Följande är rekommendationer för bästa praxis för hantering av trafik till dessa tjänster:
Hantera Azure PaaS-trafik
Använd Azure Firewall för skydd om din trafik främst består av Azure PaaS och resursåtkomsten för dina program kan filtreras med IP-adresser, FQDN, tjänsttaggar eller FQDN-taggar.
Använd en partnerlösning från tredje part i dina hubbar om trafiken består av SaaS-programåtkomst, eller om du behöver användarmedveten filtrering (till exempel för dina VDI-arbetsbelastningar (Virtual Desktop Infrastructure) eller om du behöver avancerade funktioner för Internetfiltrering.
Hantera Microsoft 365 trafik
I globalt distribuerade grenplatsscenarier bör du omdirigera Microsoft 365 direkt på -grenen innan du skickar återstående Internettrafik till din Azure-skyddade hubb.
För Microsoft 365 är nätverksfördröjning och prestanda avgörande för en lyckad användarupplevelse. För att uppnå dessa mål kring optimal prestanda och användarupplevelse måste kunderna implementera Microsoft 365 direkt och lokal escape innan de överväger att dirigera resten av Internettrafiken via Azure.
Microsoft 365 principer för nätverksanslutning kräver att Microsoft 365-nätverksanslutningar dirigeras lokalt från användargrenen eller den mobila enheten och direkt via Internet till närmaste Microsoft-nätverkspunkt.
Dessutom krypteras Microsoft 365 för sekretess och använder effektiva, upphovsrättsskyddade protokoll av prestandaskäl. Detta gör det opraktiskt och effektfullt att påverka dessa anslutningar till traditionella säkerhetslösningar på nätverksnivå. Därför rekommenderar vi starkt att kunder skickar Microsoft 365 direkt från grenar innan resten av trafiken skickas via Azure. Microsoft har samarbetat med flera SD-WAN-lösningsleverantörer som integrerar med Azure och Microsoft 365 och gör det enkelt för kunder att Microsoft 365 direkt och lokal Internet-breakout. Mer information finns i Vad är Azure Virtual WAN?
Nästa steg
Distribuera ett säkerhetspartnererbjudande i en skyddad hubb med hjälp av Azure Firewall Manager.