Wat zijn beveiligingspartnerproviders?
Met beveiligingspartnerproviders in Azure Firewall Manager kunt u uw vertrouwde, meest bekende, secaas-aanbiedingen (security as a service) van derden gebruiken om de internettoegang voor uw gebruikers te beschermen.
Met een snelle configuratie kunt u een hub beveiligen met een ondersteunde beveiligingspartner en internetverkeer van uw virtuele netwerken (VNets) of vertakkingslocaties binnen een regio routeren en filteren. U kunt dit doen met geautomatiseerd routebeheer, zonder dat u door de gebruiker gedefinieerde routes (UDR's) hoeft in te stellen en te beheren.
U kunt beveiligde hubs implementeren die zijn geconfigureerd met de beveiligingspartner van uw keuze in meerdere Azure-regio's om connectiviteit en beveiliging te krijgen voor uw gebruikers overal ter wereld in die regio's. Met de mogelijkheid om het aanbod van de beveiligingspartner te gebruiken voor internet-/SaaS-toepassingsverkeer en Azure Firewall voor privéverkeer in de beveiligde hubs, kunt u nu beginnen met het bouwen van uw beveiligingsrand in Azure die zich dicht bij uw wereldwijd gedistribueerde gebruikers en toepassingen bevindt.
De ondersteunde beveiligingspartners zijn Zscaler, Check Point en iboss.
Bekijk de volgende video van Jack Tracey voor een Zscaler-overzicht:
Belangrijke scenario's
In de volgende scenario's kunt u de beveiligingspartners gebruiken om internetverkeer te filteren:
Virtual Network (VNet) naar internet
Gebruik geavanceerde, gebruikersbewuste internetbeveiliging voor uw cloudworkloads die worden uitgevoerd in Azure.
Vertakking naar internet
Gebruik uw Azure-connectiviteit en wereldwijde distributie om eenvoudig NSaaS-filters van derden toe te voegen voor vertakkingsscenario's aan internet. U kunt uw wereldwijde transitnetwerk en beveiligingsrand bouwen met behulp van Azure Virtual WAN.
De volgende scenario's worden ondersteund:
Twee beveiligingsproviders in de hub
VNet/branch-to-internet via een beveiligingspartnerprovider en het andere verkeer (spoke-to-spoke, spoke-to-branch, branch-to-spoke) via Azure Firewall.
Eén provider in de hub
- Al het verkeer (spoke-to-spoke, spoke-to-branch, branch-to-spoke, VNet/Branch-to-Internet) beveiligd door Azure Firewall
of - VNet/branch-to-internet via beveiligingspartnerprovider
- Al het verkeer (spoke-to-spoke, spoke-to-branch, branch-to-spoke, VNet/Branch-to-Internet) beveiligd door Azure Firewall
Aanbevolen procedures voor het filteren van internetverkeer in beveiligde virtuele hubs
Internetverkeer omvat doorgaans webverkeer. Maar het omvat ook verkeer dat is bestemd voor SaaS-toepassingen zoals Microsoft 365 en openbare PaaS-services van Azure, zoals Azure Storage, Azure Sql, enzovoort. Hier volgen aanbevelingen voor aanbevolen procedures voor het verwerken van verkeer naar deze services:
Azure PaaS-verkeer verwerken
Gebruik Azure Firewall voor beveiliging als uw verkeer voornamelijk uit Azure PaaS bestaat en de resourcetoegang voor uw toepassingen kan worden gefilterd met BEHULP van IP-adressen, FQDN's, servicetags of FQDN-tags.
Gebruik een oplossing van derden in uw hubs als uw verkeer bestaat uit toegang tot SaaS-toepassingen, als u gebruikersbewust filteren nodig hebt (bijvoorbeeld voor uw VDI-workloads (Virtual Desktop Infrastructure) of als u geavanceerde internetfiltermogelijkheden nodig hebt.
Microsoft 365-verkeer verwerken
In scenario's met wereldwijd gedistribueerde vertakkingslocaties moet u Microsoft 365-verkeer rechtstreeks naar de vertakking omleiden voordat u het resterende internetverkeer naar uw beveiligde Azure-hub verzendt.
Voor Microsoft 365 zijn netwerklatentie en -prestaties essentieel voor een succesvolle gebruikerservaring. Om deze doelen met betrekking tot optimale prestaties en gebruikerservaring te bereiken, moeten klanten Microsoft 365 direct en lokaal escape implementeren voordat ze overwegen om de rest van het internetverkeer via Azure te routeren.
Microsoft 365-netwerkconnectiviteitsprincipes maken het mogelijk om belangrijke Microsoft 365-netwerkverbindingen lokaal vanaf de gebruikersbranch of het mobiele apparaat en rechtstreeks via internet naar het dichtstbijzijnde Microsoft-netwerkpunt te routeren.
Bovendien worden Microsoft 365-verbindingen versleuteld voor privacy en worden efficiënte, bedrijfseigen protocollen gebruikt om prestatieredenen. Dit maakt het onpraktisch en impactvol om deze verbindingen te onderwerpen aan traditionele beveiligingsoplossingen op netwerkniveau. Om deze redenen raden we ten zeerste aan dat klanten Microsoft 365-verkeer rechtstreeks vanuit vertakkingen verzenden, voordat de rest van het verkeer via Azure wordt verzonden. Microsoft werkt samen met verschillende SD-WAN-oplossingsproviders, die integreren met Azure en Microsoft 365 en het voor klanten gemakkelijker maken om microsoft 365 direct en lokaal internetuitval in te schakelen. Zie Wat is Azure Virtual WAN? voor meer informatie.