Implementar um fornecedor de parceiros de segurança

  • Artigo

Os provedores de parceiros de segurança no Gerenciador de Firewall do Azure permitem que você use suas melhores ofertas de segurança como serviço (SECaaS) de terceiros para proteger o acesso à Internet para seus usuários.

Para saber mais sobre cenários suportados e diretrizes de práticas recomendadas, consulte O que são provedores de parceiros de segurança?

Os parceiros integrados de segurança como serviço (SECaaS) de terceiros estão agora disponíveis:

Implantar um provedor de segurança de terceiros em um novo hub

Ignore esta seção se estiver implantando um provedor de terceiros em um hub existente.

  1. Inicie sessão no portal do Azure.
  2. Em Pesquisar, digite Firewall Manager e selecione-o em Serviços.
  3. Navegue até Visão geral. Selecione Exibir hubs virtuais seguros.
  4. Selecione Criar novo hub virtual seguro.
  5. Insira sua assinatura e grupo de recursos, selecione uma região com suporte e adicione suas informações de hub e WAN virtual.
  6. Selecione Incluir gateway VPN para habilitar Provedores de Parceiros de Segurança.
  7. Selecione as unidades de escala do Gateway apropriadas para suas necessidades.
  8. Selecione Próximo : Firewall do Azure

    Nota

    Os provedores de parceiros de segurança se conectam ao seu hub usando túneis do Gateway VPN. Se você excluir o Gateway de VPN, as conexões com seus provedores parceiros de segurança serão perdidas.

  9. Se você quiser implantar o Firewall do Azure para filtrar o tráfego privado junto com o provedor de serviços de terceiros para filtrar o tráfego da Internet, selecione uma política para o Firewall do Azure. Consulte os cenários suportados.
  10. Se você quiser implantar apenas um provedor de segurança de terceiros no hub, selecione Firewall do Azure: Habilitado/Desabilitado para defini-lo como Desabilitado.
  11. Selecione Next: Security Partner Provider.
  12. Defina Security Partner Provider como Enabled.
  13. Selecione um parceiro.
  14. Selecione Seguinte: Rever + criar.
  15. Reveja o conteúdo e, em seguida, selecione Criar.

A implantação do gateway VPN pode levar mais de 30 minutos.

Para verificar se o hub foi criado, navegue até Hubs virtuais protegidos do Azure Firewall Manager-Overview-View>>. Você vê o nome do provedor do parceiro de segurança e o status do parceiro de segurança como Conexão de Segurança Pendente.

Depois que o hub for criado e o parceiro de segurança estiver configurado, continue a conectar o provedor de segurança ao hub.

Implantar um provedor de segurança de terceiros em um hub existente

Você também pode selecionar um hub existente em uma WAN Virtual e convertê-lo em um hub virtual seguro.

  1. Em Introdução, Visão geral, selecione Exibir hubs virtuais protegidos.
  2. Selecione Converter hubs existentes.
  3. Selecione uma assinatura e um hub existente. Siga o restante das etapas para implantar um provedor de terceiros em um novo hub.

Lembre-se de que um gateway VPN deve ser implantado para converter um hub existente em hub seguro com provedores de terceiros.

Configurar provedores de segurança de terceiros para se conectarem a um hub seguro

Para configurar túneis para o Gateway de VPN do seu hub virtual, os provedores de terceiros precisam de direitos de acesso ao seu hub. Para fazer isso, associe uma entidade de serviço à sua assinatura ou grupo de recursos e conceda direitos de acesso. Em seguida, você deve fornecer essas credenciais para o terceiro usando seu portal.

Nota

Provedores de segurança terceirizados criam um site VPN em seu nome. Este site VPN não aparece no portal do Azure.

Criar e autorizar uma entidade de serviço

  1. Criar entidade de serviço do Microsoft Entra: você pode ignorar a URL de redirecionamento.

    How to: Utilizar o portal para criar uma aplicação e um principal de serviço do Microsoft Entra que possam aceder aos recursos

  2. Adicione direitos de acesso e escopo para a entidade de serviço. How to: Utilizar o portal para criar uma aplicação e um principal de serviço do Microsoft Entra que possam aceder aos recursos

    Nota

    Você pode limitar o acesso apenas ao seu grupo de recursos para obter um controle mais granular.

Visite o portal do parceiro

  1. Siga as instruções fornecidas pelo seu parceiro para concluir a configuração. Isso inclui o envio de informações do Microsoft Entra para detetar e se conectar ao hub, atualizar as políticas de saída e verificar o status e os logs de conectividade.

  2. Você pode examinar o status de criação do túnel no portal WAN Virtual do Azure no Azure. Depois que os túneis forem exibidos conectados no Azure e no portal do parceiro, continue com as próximas etapas para configurar rotas para selecionar quais filiais e redes virtuais devem enviar tráfego da Internet para o parceiro.

Configurar a segurança com o Firewall Manager

  1. Navegue até o Gerenciador de Firewall do Azure -> Hubs Protegidos.

  2. Selecione um hub. O status do hub agora deve mostrar Provisionado em vez de Conexão de Segurança Pendente.

    Verifique se o provedor terceirizado pode se conectar ao hub. Os túneis no gateway VPN devem estar em um estado Conectado . Esse estado é mais reflexo da integridade da conexão entre o hub e o parceiro de terceiros, em comparação com o status anterior.

  3. Selecione o hub e navegue até Configurações de segurança.

    Quando você implanta um provedor de terceiros no hub, ele converte o hub em um hub virtual seguro. Isso garante que o provedor de terceiros esteja anunciando uma rota 0.0.0.0/0 (padrão) para o hub. No entanto, as conexões de rede virtual e os sites conectados ao hub não obtêm essa rota, a menos que você opte por quais conexões devem obter essa rota padrão.

    Nota

    Não crie manualmente uma rota 0.0.0.0/0 (padrão) sobre BGP para anúncios de filial. Isso é feito automaticamente para implantações seguras de hub virtual com provedores de segurança de terceiros 3rd. Isso pode interromper o processo de implantação.

  4. Configure a segurança da WAN virtual definindo o Tráfego da Internet por meio do Firewall do Azure e o Tráfego Privado por meio de um parceiro de segurança confiável. Isso protege automaticamente as conexões individuais na WAN Virtual.

    Configuração de segurança

  5. Além disso, se sua organização usa intervalos de IP públicos em redes virtuais e filiais, você precisa especificar esses prefixos IP explicitamente usando Prefixos de Tráfego Privado. Os prefixos de endereço IP público podem ser especificados individualmente ou como agregados.

    Se você usar endereços não RFC1918 para seus prefixos de tráfego privado, talvez seja necessário configurar políticas SNAT para seu firewall para desabilitar o SNAT para tráfego privado não RFC1918. Por padrão, o Firewall do Azure SNATs todo o tráfego não RFC1918.

Tráfego de Internet de filial ou rede virtual através de serviço de terceiros

Em seguida, você pode verificar se as máquinas virtuais de rede virtual ou o site de filial podem acessar a Internet e validar se o tráfego está fluindo para o serviço de terceiros.

Depois de concluir as etapas de configuração de rota, as máquinas virtuais de rede virtual e os sites de filial são enviados um 0/0 para a rota de serviço de terceiros. Não é possível RDP ou SSH nessas máquinas virtuais. Para entrar, você pode implantar o serviço Azure Bastion em uma rede virtual emparelhada.

Configuração da regra

Use o portal do parceiro para configurar regras de firewall. O Firewall do Azure passa o tráfego.

Por exemplo, você pode observar o tráfego permitido por meio do Firewall do Azure, mesmo que não haja nenhuma regra explícita para permitir o tráfego. Isso ocorre porque o Firewall do Azure passa o tráfego para o próximo provedor de parceiro de segurança de salto (ZScalar, CheckPoint ou iBoss). O Firewall do Azure ainda tem regras para permitir o tráfego de saída, mas o nome da regra não é registrado.

Para obter mais informações, consulte a documentação do parceiro.

Próximos passos