Che cosa sono i provider del partner di sicurezza?
I provider di partner di sicurezza in Firewall di Azure Manager consentono di usare le offerte di sicurezza come servizio (SECaaS) familiari e di terze parti per proteggere l'accesso a Internet per gli utenti.
Con una configurazione rapida, è possibile proteggere un hub con un partner di sicurezza supportato e indirizzare e filtrare il traffico Internet dalle reti virtuali (reti virtuali) o dalle posizioni di succursali all'interno di un'area. È possibile eseguire questa operazione con la gestione automatica delle route, senza configurare e gestire route definite dall'utente (UDR).
È possibile distribuire hub protetti configurati con il partner di sicurezza scelto in più aree di Azure per ottenere connettività e sicurezza per gli utenti in qualsiasi punto del mondo in tali aree. Con la possibilità di usare l'offerta del partner di sicurezza per il traffico di applicazioni Internet/SaaS e Firewall di Azure per il traffico privato negli hub protetti, è ora possibile iniziare a creare il bordo di sicurezza in Azure vicino agli utenti e alle applicazioni distribuite a livello globale.
I partner di sicurezza supportati sono Zscaler, Check Point e iboss.
Per una panoramica di Zscaler, vedere il video seguente di Jack Tracey:
Scenari principali
È possibile usare i partner di sicurezza per filtrare il traffico Internet negli scenari seguenti:
Rete virtuale (rete virtuale) da Internet
Usare la protezione Internet con riconoscimento dell'utente avanzata per i carichi di lavoro cloud in esecuzione in Azure.
Branch-to-Internet
Usare la connettività di Azure e la distribuzione globale per aggiungere facilmente filtri NSaaS di terze parti per gli scenari Diramazione a Internet. È possibile creare la rete di transito globale e la rete perimetrale di sicurezza usando Azure rete WAN virtuale.
Sono supportati gli scenari indicati di seguito:
Due provider di sicurezza nell'hub
VNet/Branch-to-Internet tramite un provider partner di sicurezza e l'altro traffico (spoke-to-spoke, spoke-to-branch, branch-to-spoke) tramite Firewall di Azure.
Provider singolo nell'hub
- Tutto il traffico (spoke-to-spoke, spoke-to-branch, branch-to-spoke, VNet/Branch-to-Internet) protetto da Firewall di Azure
oppure - Rete virtuale/Branch-to-Internet tramite provider di partner di sicurezza
- Tutto il traffico (spoke-to-spoke, spoke-to-branch, branch-to-spoke, VNet/Branch-to-Internet) protetto da Firewall di Azure
Procedure consigliate per il filtro del traffico Internet negli hub virtuali protetti
Il traffico Internet include in genere il traffico Web. Ma include anche il traffico destinato alle applicazioni SaaS, ad esempio Microsoft 365 e servizi PaaS pubblici di Azure, ad esempio Archiviazione di Azure, Azure Sql e così via. Di seguito sono riportate le raccomandazioni consigliate per gestire il traffico a questi servizi:
Gestione del traffico PaaS di Azure
Usare Firewall di Azure per la protezione se il traffico è costituito principalmente da PaaS di Azure e l'accesso alle risorse per le applicazioni può essere filtrato usando indirizzi IP, FQDN, tag di servizio o tag FQDN.
Usare una soluzione partner di terze parti negli hub se il traffico è costituito dall'accesso alle applicazioni SaaS oppure è necessario un filtro con riconoscimento dell'utente (ad esempio, per i carichi di lavoro VDI) dell'infrastruttura desktop virtuale oppure è necessaria una funzionalità di filtro Internet avanzata.
Gestione del traffico di Microsoft 365
Negli scenari di posizione dei rami distribuiti a livello globale, è necessario reindirizzare il traffico di Microsoft 365 direttamente al ramo prima di inviare il traffico Internet rimanente all'hub protetto di Azure.
Per Microsoft 365, la latenza di rete e le prestazioni sono fondamentali per un'esperienza utente riuscita. Per raggiungere questi obiettivi intorno alle prestazioni ottimali e all'esperienza utente, i clienti devono implementare l'escape diretto e locale di Microsoft 365 prima di instradare il resto del traffico Internet tramite Azure.
I principi di connettività di rete di Microsoft 365 chiamano le connessioni di rete microsoft 365 chiave da indirizzare localmente dal ramo utente o dal dispositivo mobile e direttamente tramite Internet nel punto di rete Microsoft più vicino della presenza.
Inoltre, le connessioni Di Microsoft 365 vengono crittografate per la privacy e usano protocolli proprietari efficienti e proprietari per motivi di prestazioni. Ciò rende impraticabile e interessata l'applicazione di tali connessioni alle soluzioni di sicurezza a livello di rete tradizionali. Per questi motivi è consigliabile che i clienti inviino il traffico di Microsoft 365 direttamente dai rami, prima di inviare il resto del traffico tramite Azure. Microsoft ha collaborato con diversi provider di soluzioni SD-WAN, che si integrano con Azure e Microsoft 365 e semplificano la possibilità per i clienti di abilitare l'interruzione Diretta e Internet locale di Microsoft 365. Per informazioni dettagliate, vedere Informazioni su Azure rete WAN virtuale?
Passaggi successivi
Distribuire un'offerta partner di sicurezza in un hub protetto usando Firewall di Azure Manager.