O que são provedores de parceiro de segurança?
Os provedores de parceiro de segurança no Gerenciador de Firewall do Azure permitem que você use as melhores ofertas de terceiros de segurança como serviço (SECaaS) para proteger o acesso à Internet de seus usuários.
Com uma rápida configuração, você pode proteger um hub com um parceiro de segurança que tenha suporte e rotear e filtrar o tráfego de Internet de suas redes virtuais (VNets) ou locais de ramificação em uma região. É possível fazer isso com o gerenciamento automatizado de rotas, sem ter que configurar e gerenciar rotas definidas pelo usuário (UDRs).
Você pode implantar hubs protegidos configurados com o parceiro de segurança de sua escolha em várias regiões do Azure para que os seus usuários nessas regiões tenham conectividade e segurança em qualquer lugar do mundo. Com a capacidade de usar a oferta do parceiro de segurança para o tráfego de aplicativos de Internet/SaaS e o Firewall do Azure para tráfego privado nos hubs protegidos, você pode agora começar a criar uma borda de segurança no Azure que esteja mais próxima dos seus usuários e aplicativos distribuídos globalmente.
Os parceiros de segurança com suporte são Zscaler, Check Point e iboss.
Confira o vídeo a seguir por Jack Tracey para obter uma visão geral do Zscaler:
Principais cenários
É possível usar os parceiros de segurança para filtrar o tráfego de Internet nos seguintes cenários:
Rede virtual (VNet) para internet
Aproveite a proteção avançada da Internet com reconhecimento de usuário para suas cargas de trabalho na nuvem em execução no Azure.
Branch a Internet
Aproveite a conectividade e a distribuição global do Azure e adicione a filtragem de NsaaS de terceiros para cenários de branch para Internet com facilidade. Você pode criar sua rede de trânsito global e borda de segurança usando a WAN Virtual do Azure.
Os cenários a seguir têm suporte:
Dois provedores de segurança no hub
VNet/Branch a Internet por meio de um provedor de parceiro de segurança e o restante do tráfego (spoke para spoke, spoke para branch, branch para spoke) por meio do Firewall do Azure.
Provedor único no Hub
- Todo o tráfego (spoke para spoke, spoke para branch, branch para spoke, VNet/Branch para Internet) protegido pelo Firewall do Azure
ou - VNet/Branch para a Internet por meio do provedor de parceiros de segurança
- Todo o tráfego (spoke para spoke, spoke para branch, branch para spoke, VNet/Branch para Internet) protegido pelo Firewall do Azure
Práticas recomendadas para filtragem de tráfego de Internet em hubs virtuais seguros
O tráfego da Internet normalmente inclui o tráfego da Web. Mas ele também inclui o tráfego destinado a aplicativos SaaS, como o Microsoft 365, e serviços de PaaS públicos do Azure, como o Armazenamento do Azure, o SQL do Azure, e assim por diante. A seguir estão as recomendações de melhores práticas para lidar com o tráfego para esses serviços:
Gerenciar o tráfego de PaaS do Azure
Use o Firewall do Azure para proteção se o tráfego consistir principalmente em PaaS do Azure e o acesso a recursos para seus aplicativos puder ser filtrado usando endereços IP, FQDNs, marcas de serviço ou marcas FQDN.
Use uma solução de um parceiro terceiro nos hubs se o tráfego consistir em acesso de aplicativo SaaS ou se você precisar de filtragem com reconhecimento do usuário (por exemplo, para suas cargas de trabalho de infraestrutura da área de trabalho virtual - VDI) ou no caso de recursos avançados de filtragem da Internet.
Gerenciar o tráfego do Microsoft 365
Em cenários de localização de branch distribuída globalmente, você deve redirecionar o tráfego do Microsoft 365 diretamente para o branch antes de enviar o tráfego restante da Internet para o hub protegido do Azure.
No caso do Microsoft 365, a latência de rede e o desempenho são essenciais para que o usuário tenha uma experiência de sucesso. Para atingir essas metas em relação ao desempenho ideal e à experiência do usuário, os clientes devem implementar o escape direto e local do Microsoft 365 antes de considerarem o roteamento do restante do tráfego da Internet por meio do Azure.
Os princípios de conectividade do Microsoft 365 requerem que as principais conexões de rede do Microsoft 365 sejam roteadas localmente do branch do usuário ou do dispositivo móvel e diretamente pela Internet para o ponto de presença de rede da Microsoft mais próximo.
Além disso, as conexões do Microsoft 365 são criptografadas para fins de privacidade e usam protocolos eficientes e proprietários por motivos de desempenho. Com isso, sujeitar essas conexões a soluções tradicionais de segurança no nível da rede é impraticável e traz impactos indesejáveis. Por esses motivos, recomendamos que os clientes enviem o tráfego do Microsoft 365 diretamente de branches antes de enviarem o restante do tráfego por meio do Azure. A Microsoft tem parcerias com vários provedores de soluções SD-WAN, que se integram ao Azure e ao Microsoft 365 e simplificam a habilitação de uma sessão de internet direta e local para o Microsoft 365. Para obter detalhes, consulte o que é a WAN Virtual do Azure?