Güvenlik iş ortağı sağlayıcısı dağıtma

  • Makale
  • Okumak için 4 dakika

Azure Güvenlik Duvarı Yöneticisi güvenlik ortağı sağlayıcıları, kullanıcılarınız için İnternet erişimini korumak için tanıdık, en iyi türe sahip üçüncü taraf hizmet olarak güvenlik (SECaaS) tekliflerinizi kullanmanızı sağlar.

Desteklenen senaryolar ve en iyi uygulama yönergeleri hakkında daha fazla bilgi edinmek için bkz. Güvenlik iş ortağı sağlayıcıları nedir?

Tümleşik üçüncü taraf hizmet olarak güvenlik (SECaaS) iş ortakları artık kullanılabilir:

Üçüncü taraf güvenlik sağlayıcısını yeni bir hub'a dağıtma

Mevcut bir hub'a üçüncü taraf sağlayıcı dağıtıyorsanız bu bölümü atlayabilirsiniz.

  1. https://portal.azure.com adresinden Azure portalında oturum açın.
  2. Ara'ya Güvenlik Duvarı Yöneticisi yazın ve Hizmetler'in altında seçin.
  3. Başlarken. Güvenli sanal hub'ları görüntüle'yi seçin.
  4. Yeni güvenli sanal merkez oluştur'a seçin.
  5. Aboneliğinizi ve kaynak grubunu girin, desteklenen bir bölgeyi seçin ve hub ile sanal WAN bilginizi ekleyin.
  6. Güvenlik İş Ortağı Sağlayıcılarını etkinleştirmek için VPN ağ geçidini dahil öğesini seçin.
  7. Gereksinimlerinize uygun Ağ geçidi ölçek birimlerini seçin.
  8. Sonraki: Seç: Azure Güvenlik Duvarı

    Not

    Güvenlik iş ortağı sağlayıcıları, ağ tünellerini kullanarak VPN Gateway bağlantı sağlar. Hesabı siler VPN Gateway iş ortağı sağlayıcılarınıza yapılan bağlantılar kaybolur.

  9. İnternet trafiğini filtrelemek Azure Güvenlik Duvarı üçüncü taraf hizmet sağlayıcısıyla birlikte özel trafiği filtrelemek için bir ilke dağıtmak Azure Güvenlik Duvarı. Desteklenen senaryolara bakın.
  10. Hub'da yalnızca bir üçüncü taraf güvenlik sağlayıcısı dağıtmak için şu seçeneği seçin: Azure Güvenlik Duvarı: Etkin/Devre Dışı olarak ayarlayın.
  11. Sonraki: Güvenlik İş Ortağı Sağlayıcısı'ı seçin.
  12. Güvenlik İş Ortağı Sağlayıcısı'nın Etkin olarak ayarlayın.
  13. Bir iş ortağı seçin.
  14. Sonraki: Gözden geçirme ve oluşturma’yı seçin.
  15. İçeriği gözden geçirin ve Oluştur'a seçin.

VPN ağ geçidi dağıtımı 30 dakikadan uzun sürebilir.

Hub'ın oluşturulanı doğrulamak için Güvenli Hub'Azure Güvenlik Duvarı Yöneticisi >gidin. İş ortağı adını ve >Güvenlik Bağlantısı Bekliyor olarak göstermek için hub-hub->Genel Bakış sayfasını seçin.

Hub oluşturulduktan ve güvenlik ortağı kurulduktan sonra, güvenlik sağlayıcısını hub'a bağlamak için devam edin.

Mevcut bir hub'da üçüncü taraf güvenlik sağlayıcısı dağıtma

Sanal WAN'da mevcut bir hub'ı da seçerek bunu güvenli bir sanal hub'a dönüştürebilirsiniz.

  1. Bu Başlarken Güvenli sanal hub'ları görüntüle'yi seçin.
  2. Mevcut hub'ları dönüştür seçeneğini seçin.
  3. Bir abonelik ve mevcut bir hub seçin. Üçüncü taraf sağlayıcıyı yeni bir hub'a dağıtmak için diğer adımları izleyin.

Mevcut bir hub'ı üçüncü taraf sağlayıcılarla güvenli bir hub'a dönüştürmek için bir VPN ağ geçidinin dağıtılması gerektiğini unutmayın.

Güvenli bir hub'a bağlanmak için üçüncü taraf güvenlik sağlayıcılarını yapılandırma

Üçüncü taraf sağlayıcıların, sanal hub' VPN Gateway tünelleri ayarlamak için hub'ınıza erişim hakları gerekir. Bunu yapmak için, bir hizmet sorumlularını aboneliğiniz veya kaynak grubunuzla ilişkilendirme ve erişim hakları ver. Ardından bu kimlik bilgilerini portalını kullanarak üçüncü taraflara verebilirsiniz.

Not

Üçüncü taraf güvenlik sağlayıcıları sizin adına bir VPN sitesi oluşturun. Bu VPN sitesi, Azure portal.

Hizmet sorumlusu oluşturma ve yetkilendirme

  1. Azure Active Directory (AD) hizmet sorumlusu oluşturma: Yeniden yönlendirme URL'sini atlayabilirsiniz.

    Nasıl yapılır: Kaynaklara erişebilen bir Azure AD uygulaması ve hizmet sorumlusu oluşturmak için portalı kullanma

  2. Hizmet sorumlusu için erişim hakları ve kapsam ekleyin. Nasıl yapılır: Kaynaklara erişebilen bir Azure AD uygulaması ve hizmet sorumlusu oluşturmak için portalı kullanma

    Not

    Daha ayrıntılı denetim için erişimi yalnızca kaynak grubunuzla sınırebilirsiniz.

İş ortağı portalını ziyaret edin

  1. Kurulumu tamamlamak için iş ortağınız tarafından sağlanan yönergeleri izleyin. Bu, hub AAD algılamak ve hub'a bağlanmak, çıkış ilkelerini güncelleştirmek ve bağlantı durumunu ve günlüklerini kontrol etmek için farklı bilgiler göndermeyi içerir.

  2. Azure'daki Azure Sanal WAN portalında tünel oluşturma durumuna bakabilirsiniz. Tüneller hem Azure'da hem de iş ortağı portalında bağlı olarak gösteriliyorsa, hangi dalların ve sanal ağların iş ortağına İnternet trafiği göndermesi gerektiğini seçmek için yolları ayarlamak için sonraki adımlarla devam edin.

Güvenlik Duvarı Yöneticisi ile güvenliği yapılandırma

  1. Güvenli Hub'Azure Güvenlik Duvarı Yöneticisi -> gidin.

  2. Bir hub seçin. Hub durumu şimdi Bekleyen Güvenlik Bağlantısı yerine Sağlandı olarak göster göstersin.

    Üçüncü taraf sağlayıcının hub'a bağlana olduğundan emin olun. VPN ağ geçidinde tünellerin Bağlı durumda olması gerekir. Bu durum, önceki durumla karşılaştırıldığında merkez ile üçüncü taraf iş ortağı arasındaki bağlantı durumunu daha iyi yansıtacak şekildedir.

  3. Hub'ı seçin ve Güvenlik Yapılandırmaları'ne gidin.

    Hub'a bir üçüncü taraf sağlayıcı dağıtarak, hub'ı güvenli bir sanal hub'a dönüştürür. Bu, üçüncü taraf sağlayıcının hub'a bir 0.0.0.0/0 (varsayılan) rotasını reklamını sağlar. Ancak, hangi bağlantıların bu varsayılan yolu elde etmesi gerektiğini kabul etmedikçe, hub'a bağlı sanal ağ bağlantıları ve siteler bu yolu elde etmez.

    Not

    Dal tanıtımları için BGP üzerinden el ile 0.0.0.0/0 (varsayılan) yol oluşturma. Bu, üçüncü taraf güvenlik sağlayıcılarıyla güvenli sanal merkez dağıtımları için otomatik olarak yapılır. Bunu yapmak dağıtım işlemini bozabilirsiniz.

  4. Sanal WAN güvenliğini yapılandırmak için İnternet Trafiğini güvenilen bir güvenlik Azure Güvenlik Duvarı üzerinden ve Özel Trafik'i kullanarak yapılandırabilirsiniz. Bu, Sanal WAN'daki tek tek bağlantıların güvenliğini otomatik olarak sağlar.

    Güvenlik yapılandırması

  5. Ayrıca, kuruluş sanal ağlarda ve şube ofislerinde genel IP aralıkları kullanıyorsa, özel trafik ön eklerini kullanarak bu IP ön eklerini açıkça belirtmeniz gerekir. Genel IP adresi ön ekleri tek tek veya toplama olarak belirtilebilir.

    Özel trafik ön ekleri için RFC1918 olmayan adresler kullanıyorsanız, RFC1918 olmayan özel trafik için SNAT'yi devre dışı bırakmak üzere güvenlik duvarınız için SNAT ilkelerini yapılandırmanız gerekebilir. Varsayılan olarak, Azure Güvenlik Duvarı olmayan tüm TRAFIK SNAT'larını kullanır.

Üçüncü taraf hizmet aracılığıyla dal veya sanal ağ İnternet trafiği

Daha sonra, sanal ağ sanal makinelerinin veya şube sitenin İnternet'e erişenin olup ola olduğunu kontrol edebilirsiniz ve trafiğin üçüncü taraf hizmete akmaya devam ediyor olduğunu doğrularsiniz.

Yol ayarı adımlarını tamamladikten sonra, sanal ağ sanal makineleri ve şube siteleri üçüncü taraf hizmet yolu için 0/0 olarak gönderilir. Bu sanal makinelere RDP veya SSH ile giresiniz. Oturum açma için, Azure Bastion hizmetini eşli bir sanal ağ içinde dağıtabilirsiniz.

Sonraki adımlar