Compartilhar via


Implantar um provedor de parceiro de segurança

Os provedores de parceiro de segurança no Gerenciador de Firewall do Azure permitem que você use as melhores ofertas de SECaaS (segurança como serviço) conhecidos de terceiros para proteger o acesso à Internet para seus usuários.

Para saber mais sobre cenários com suporte e diretrizes de melhores práticas, confira O que são provedores de parceiros de segurança?

Os parceiros de SECaaS de terceiros integrados agora estão disponíveis:

  • Zscaler

Implantar um provedor de segurança de terceiros em um novo hub

Ignore esta seção se você estiver implantando um provedor de terceiros em um hub existente.

  1. Entre no portal do Azure.
  2. Em Pesquisar, digite Gerenciador de Firewall e selecione-o em Serviços.
  3. Navegue até Visão geral. Selecione Exibir hubs virtuais seguros.
  4. Selecione Criar um hub virtual seguro.
  5. Insira sua assinatura e grupo de recursos, selecione uma região com suporte e adicione suas informações de WAN virtual e hub.
  6. Selecione Incluir o gateway de VPN para habilitar os Provedores de Parceiro de Segurança.
  7. Selecione as Unidades de escala de gateway apropriadas para seus requisitos.
  8. Selecione Próximo: Firewall do Azure

    Observação

    Os provedores de parceiros de segurança se conectam ao seu hub usando túneis de Gateway de VPN. Se você excluir o Gateway de VPN, as conexões com seus provedores de parceiros de segurança serão perdidas.

  9. Se você quiser implantar o Firewall do Azure para filtrar o tráfego privado junto com o provedor de serviços de terceiros para filtrar o tráfego de Internet, selecione uma política para o Firewall do Azure. Veja os cenários com suporte.
  10. Se você quiser implantar apenas um provedor de segurança de terceiros no hub, selecione Firewall do Azure: Habilitado/Desabilitado para defini-lo como Desabilitado.
  11. Selecione Avançar: Provedor de Parceiro de Segurança.
  12. Defina Provedor de Parceiro de Segurança como Habilitado.
  13. Selecione um parceiro.
  14. Selecione Avançar: Revisar + criar.
  15. Examine o conteúdo e depois selecione Criar.

A implantação do gateway de VPN pode levar mais de 30 minutos.

Para verificar se o hub foi criado, navegue até o Gerenciador de Firewall do Azure->Visão geral->Exibir hubs virtuais seguros. Você verá o nome do provedor do parceiro de segurança e o status do parceiro de segurança como Conexão de segurança pendente.

Depois que o hub for criado e o parceiro de segurança estiver configurado, continue para conectar o provedor de segurança ao hub.

Implantar um provedor de segurança de terceiros em um hub existente

Você também pode selecionar um hub existente em uma WAN Virtual e convertê-la em um hub virtual seguro.

  1. Em Introdução, Visão geral, selecione Exibir hubs virtuais protegidos.
  2. Selecione Converter hubs existentes.
  3. Selecione uma assinatura e um hub existente. Siga as etapas restantes para implantar um provedor de terceiros em um novo hub.

Lembre-se de que um gateway de VPN deve ser implantado para converter um hub existente em um hub protegido com provedores de terceiros.

Configurar provedores de segurança de terceiros para conexão a um hub protegido

Para configurar túneis para o Gateway de VPN do seu hub virtual, os provedores de terceiros precisam de direitos de acesso ao seu hub. Para fazer isso, associe uma entidade de serviço com sua assinatura ou grupo de recursos e conceda direitos de acesso. Em seguida, você deve fornecer essas credenciais para terceiros usando o portal deles.

Observação

Os provedores de segurança de terceiros criam um site VPN em seu nome. Esse site VPN não aparece no portal do Azure.

Criar e autorizar uma entidade de serviço

  1. Crie a entidade de serviço do Microsoft Entra: você pode ignorar a URL de redirecionamento.

    Instruções: usar o portal para criar um aplicativo do Microsoft Entra e uma entidade de serviço que possa acessar recursos

  2. Adicione direitos de acesso e escopo para a entidade de serviço. Instruções: usar o portal para criar um aplicativo do Microsoft Entra e uma entidade de serviço que possa acessar recursos

    Observação

    Você pode limitar o acesso somente ao seu grupo de recursos para um controle mais granular.

Visitar o portal do parceiro

  1. Siga as instruções fornecidas pelo parceiro para concluir a instalação. Isso inclui o envio de informações do Microsoft Entra para detectar e se conectar ao hub, atualizar as políticas de saída e verificar o status e os logs de conectividade.

  2. Você pode examinar o status de criação do túnel no portal da WAN Virtual do Azure no Azure. Depois que os túneis aparecerem como conectados no portal do Azure e do parceiro, continue com as próximas etapas para configurar as rotas para selecionar quais branches e VNets devem enviar o tráfego de Internet para o parceiro.

Você pode adicionar outras soluções de virtualização de rede ao hub de WAN virtual. Para obter mais informações, consulte Sobre NVAs em um hub de WAN Virtual.

Configurar a segurança com o Gerenciador de Firewall

  1. Navegue até o Gerenciador de Firewall do Azure -> Hubs Protegidos.

  2. Selecione um hub. O status do hub agora deve mostrar Provisionado em vez da Conexão de Segurança Pendente.

    Verifique se o provedor de terceiros pode se conectar ao hub. Os túneis no gateway de VPN devem estar em um estado Conectado. Esse estado é mais reflexivo na integridade da conexão entre o hub e o parceiro de terceiros, em comparação com o status anterior.

  3. Selecione o hub e navegue até Configurações de Segurança.

    Quando você implanta um provedor de terceiros no hub, ele converte o hub em um hub virtual seguro. Isso garante que o provedor de terceiros esteja anunciando uma rota 0.0.0.0/0 (padrão) para o hub. No entanto, as conexões de rede virtual e os sites conectados ao hub não obtêm essa rota, a menos que você aceite quais conexões devem obter essa rota padrão.

    Observação

    Não crie manualmente uma rota 0.0.0.0/0 (padrão) sobre o BGP para anúncios de ramificação. Isso é feito automaticamente em implantações de hub virtual seguro com provedores de segurança terceirizados. Isso pode interromper o processo de implantação.

  4. Configure a segurança da WAN Virtual definindo o Tráfego de Internet por meio do Firewall do Azure e do Tráfego Privado por meio de um parceiro de segurança confiável. Isso protege automaticamente as conexões individuais na WAN Virtual.

    Configuração de segurança

  5. Além disso, se a sua organização usa intervalos de IP público em redes virtuais e filiais, você precisa especificar esses prefixos de IP explicitamente usando Prefixos de Tráfego Privado. Os prefixos de endereço IP público podem ser especificados individualmente ou como agregações.

    Se você usar endereços que não sejam RFC1918 para os prefixos de tráfego privado, poderá ser necessário configurar políticas do SNAT para o firewall a fim de desabilitar o SNAT para o tráfego privado que não seja RFC1918. Por padrão, o Firewall do Azure executa o SNAT em todo o tráfego que não é RFC1918.

Tráfego de Internet de filial ou de rede virtual por meio de serviço de terceiros

Em seguida, você pode verificar se as máquinas virtuais de rede virtual ou o site de filial podem acessar a Internet e validar se o tráfego está fluindo para o serviço de terceiros.

Depois de concluir as etapas de configuração de rota, as máquinas virtuais de rede virtual e os sites de filial são enviados 0/0 para a rota de serviço de terceiros. Não é possível usar RDP ou SSH nessas máquinas virtuais. Para entrar, você pode implantar o serviço do Azure Bastion em uma rede virtual emparelhada.

Configuração de regra

Use o portal do parceiro para configurar as regras de firewall. O Firewall do Azure deixa o tráfego passar.

Por exemplo, você pode observar o tráfego permitido por meio do Firewall do Azure, mesmo que não haja uma regra explícita para permitir o tráfego. Isso ocorre porque o Firewall do Azure passa o tráfego para o ZScalar (provedor de parceiro de segurança do próximo salto). O Firewall do Azure ainda tem regras para permitir o tráfego de saída, mas o nome da regra não é registrado.

Para obter mais informações, consulte a documentação do parceiro.

Próximas etapas