Een beveiligingspartnerprovider implementeren

Met beveiligingspartnerproviders in Azure Firewall Manager kunt u uw vertrouwde, best-in-breed aanbiedingen voor beveiliging als een dienst (SECaaS) van derden gebruiken om internettoegang voor uw gebruikers te beveiligen.

Zie Wat zijn beveiligingspartnerproviders voor meer informatie over ondersteunde scenario's en best practice-richtlijnen?

Geïntegreerde SECaaS-partners (Security as a Service) van derden zijn nu beschikbaar:

Een externe beveiligingsprovider implementeren in een nieuwe hub

Sla deze sectie over als u een externe provider implementeert in een bestaande hub.

  1. Meld u aan bij Azure Portal op https://portal.azure.com.
  2. Typ Firewall Manager in Search en selecteer deze onder Services.
  3. Navigeer naar Aan de slag. Selecteer Beveiligde virtuele hubs weergeven.
  4. Selecteer Nieuwe beveiligde virtuele hub maken.
  5. Voer uw abonnement en resourcegroep in, selecteer een ondersteunde regio en voeg uw hub- en virtual WAN-gegevens toe.
  6. Selecteer VPN-gateway opnemen om providers van beveiligingspartner in te schakelen.
  7. Selecteer de gatewayschaaleenheden die geschikt zijn voor uw vereisten.
  8. Volgende selecteren: Azure Firewall

    Notitie

    Beveiligingspartnerproviders maken verbinding met uw hub met behulp van VPN Gateway tunnels. Als u de VPN Gateway verwijdert, gaan de verbindingen met uw beveiligingspartnerproviders verloren.

  9. Als u Azure Firewall wilt implementeren om privéverkeer samen met externe serviceproviders te filteren om internetverkeer te filteren, selecteert u een beleid voor Azure Firewall. Bekijk de ondersteunde scenario's.
  10. Als u alleen een externe beveiligingsprovider in de hub wilt implementeren, selecteert u Azure Firewall: Ingeschakeld/Uitgeschakeld om deze in te stellen op Uitgeschakeld.
  11. Selecteer Volgende: Beveiligingspartnerprovider.
  12. Stel beveiligingspartnerproviderin op Ingeschakeld.
  13. Selecteer een partner.
  14. Selecteer Volgende: Beoordelen en maken.
  15. Controleer de inhoud en selecteer Vervolgens Maken.

De implementatie van de VPN-gateway kan meer dan 30 minuten duren.

Als u wilt controleren of de hub is gemaakt, gaat u naar Azure Firewall met Manager> beveiligde hubs. Selecteer de hub-overzichtspagina> om de naam van de partner en de status weer te geven als Beveiligingsverbinding in behandeling.

Zodra de hub is gemaakt en de beveiligingspartner is ingesteld, gaat u door met het verbinden van de beveiligingsprovider met de hub.

Een externe beveiligingsprovider implementeren in een bestaande hub

U kunt ook een bestaande hub in een Virtual WAN selecteren en deze converteren naar een beveiligde virtuele hub.

  1. Selecteer in Aan de slag beveiligde virtuele hubs weergeven.
  2. Selecteer Bestaande hubs converteren.
  3. Selecteer een abonnement en een bestaande hub. Volg de rest van de stappen voor het implementeren van een externe provider in een nieuwe hub.

Houd er rekening mee dat een VPN-gateway moet worden geïmplementeerd om een bestaande hub te converteren naar een beveiligde hub met externe providers.

Beveiligingsproviders van derden configureren om verbinding te maken met een beveiligde hub

Als u tunnels wilt instellen voor de VPN Gateway van uw virtuele hub, hebben externe providers toegangsrechten nodig voor uw hub. Hiervoor koppelt u een service-principal aan uw abonnement of resourcegroep en verleent u toegangsrechten. Vervolgens moet u deze referenties aan de derde partij geven via hun portal.

Notitie

Externe beveiligingsproviders maken namens u een VPN-site. Deze VPN-site wordt niet weergegeven in de Azure Portal.

Een service-principal maken en autoriseren

  1. Service-principal voor Azure Active Directory (AD) maken: u kunt de omleidings-URL overslaan.

    Procedure: Gebruik de portal voor het maken van een Azure AD-toepassing en service-principal die toegang hebben tot resources

  2. Toegangsrechten en bereik voor de service-principal toevoegen. Procedure: Gebruik de portal voor het maken van een Azure AD-toepassing en service-principal die toegang hebben tot resources

    Notitie

    U kunt de toegang beperken tot alleen uw resourcegroep voor gedetailleerdere controle.

Ga naar partnerportal

  1. Volg de door uw partner verstrekte instructies om de installatie te voltooien. Dit omvat het indienen van AAD-informatie om de hub te detecteren en er verbinding mee te maken, het uitgaand beleid bij te werken en de connectiviteitsstatus en logboeken te controleren.

  2. U kunt de status van het maken van de tunnel bekijken in azure Virtual WAN portal in Azure. Zodra de tunnels zijn verbonden in Zowel Azure als de partnerportal, gaat u verder met de volgende stappen om routes in te stellen om te selecteren welke vertakkingen en VNets internetverkeer naar de partner moeten verzenden.

Beveiliging configureren met Firewall Manager

  1. Blader naar de Azure Firewall Manager -> Beveiligde hubs.

  2. Selecteer een hub. De hubstatus moet nu ingericht worden weergegeven in plaats van De beveiligingsverbinding in behandeling.

    Zorg ervoor dat de externe provider verbinding kan maken met de hub. De tunnels op de VPN-gateway moeten de status Verbonden hebben. Deze status is meer weerspiegeld van de verbindingsstatus tussen de hub en de partner van derden, vergeleken met de vorige status.

  3. Selecteer de hub en navigeer naar Beveiligingsconfiguraties.

    Wanneer u een externe provider implementeert in de hub, wordt de hub geconverteerd naar een beveiligde virtuele hub. Dit zorgt ervoor dat de externe provider een route van 0.0.0.0/0 (standaard) naar de hub adverteert. VNet-verbindingen en -sites die zijn verbonden met de hub, krijgen deze route echter niet, tenzij u zich aanmeldt voor welke verbindingen deze standaardroute moeten worden verkregen.

    Notitie

    Maak niet handmatig een route van 0.0.0.0/0 (standaard) via BGP voor vertakkingsadvertenties. Dit wordt automatisch gedaan voor beveiligde implementaties van virtuele hubs met externe beveiligingsproviders. Als u dit doet, wordt het implementatieproces mogelijk verbroken.

  4. Configureer virtual WAN-beveiliging door internetverkeer in te stellen via Azure Firewall en privéverkeer via een vertrouwde beveiligingspartner. Hiermee worden afzonderlijke verbindingen in de Virtual WAN automatisch beveiligd.

    Beveiligingsconfiguratie

  5. Als uw organisatie bovendien openbare IP-bereiken gebruikt in virtuele netwerken en filialen, moet u deze IP-voorvoegsels expliciet opgeven met behulp van voorvoegsels voor privéverkeer. De voorvoegsels van het openbare IP-adres kunnen afzonderlijk of als aggregaties worden opgegeven.

    Als u niet-RFC1918-adressen gebruikt voor uw voorvoegsels voor privéverkeer, moet u mogelijk SNAT-beleid configureren voor uw firewall om SNAT uit te schakelen voor privéverkeer zonder RFC1918. Standaard Azure Firewall SNATs al het niet-RFC1918-verkeer.

Vertakkings- of VNet-internetverkeer via een service van derden

Vervolgens kunt u controleren of virtuele VNet-machines of de vertakkingssite toegang hebben tot internet en controleren of het verkeer naar de service van derden stroomt.

Na het voltooien van de stappen voor de route-instelling worden de virtuele VNet-machines en de vertakkingssites een 0/0 verzonden naar de serviceroute van derden. U kunt geen RDP of SSH gebruiken voor deze virtuele machines. Als u zich wilt aanmelden, kunt u de Azure Bastion-service implementeren in een gekoppeld VNet.

Volgende stappen