Compartilhar via


O que são provedores de parceiro de segurança?

Os provedores de parceiro de segurança no Gerenciador de Firewall do Azure permitem que você use as melhores ofertas de terceiros de segurança como serviço (SECaaS) para proteger o acesso à Internet de seus usuários.

Com uma rápida configuração, você pode proteger um hub com um parceiro de segurança que tenha suporte e rotear e filtrar o tráfego de Internet de suas redes virtuais (VNets) ou locais de ramificação em uma região. É possível fazer isso com o gerenciamento automatizado de rotas, sem ter que configurar e gerenciar rotas definidas pelo usuário (UDRs).

Você pode implantar hubs protegidos configurados com o parceiro de segurança de sua escolha em várias regiões do Azure para que os seus usuários nessas regiões tenham conectividade e segurança em qualquer lugar do mundo. Com a capacidade de usar a oferta do parceiro de segurança para o tráfego de aplicativos de Internet/SaaS e o Firewall do Azure para tráfego privado nos hubs protegidos, você pode agora começar a criar uma borda de segurança no Azure que esteja mais próxima dos seus usuários e aplicativos distribuídos globalmente.

O parceiro de segurança atual com suporte é Zscaler.

Provedores de parceiro de segurança

Confira o vídeo a seguir por Jack Tracey para obter uma visão geral do Zscaler:

Principais cenários

É possível usar os parceiros de segurança para filtrar o tráfego de Internet nos seguintes cenários:

  • Rede virtual (VNet) para internet

    Aproveite a proteção avançada da Internet com reconhecimento de usuário para suas cargas de trabalho na nuvem em execução no Azure.

  • Branch a Internet

    Aproveite a conectividade e a distribuição global do Azure e adicione a filtragem de NsaaS de terceiros para cenários de branch para Internet com facilidade. Você pode criar sua rede de trânsito global e borda de segurança usando a WAN Virtual do Azure.

Os cenários a seguir têm suporte:

  • Dois provedores de segurança no hub

    VNet/Branch a Internet por meio de um provedor de parceiro de segurança e o restante do tráfego (spoke para spoke, spoke para branch, branch para spoke) por meio do Firewall do Azure.

  • Provedor único no Hub

    • Todo o tráfego (spoke para spoke, spoke para branch, branch para spoke, VNet/Branch para Internet) protegido pelo Firewall do Azure
      ou
    • VNet/Branch para a Internet por meio do provedor de parceiros de segurança

Práticas recomendadas para filtragem de tráfego de Internet em hubs virtuais seguros

O tráfego da Internet normalmente inclui o tráfego da Web. Mas ele também inclui o tráfego destinado a aplicativos SaaS, como o Microsoft 365, e serviços de PaaS públicos do Azure, como o Armazenamento do Azure, o SQL do Azure, e assim por diante. A seguir estão as recomendações de melhores práticas para lidar com o tráfego para esses serviços:

Gerenciar o tráfego de PaaS do Azure

  • Use o Firewall do Azure para proteção se o tráfego consistir principalmente em PaaS do Azure e o acesso a recursos para seus aplicativos puder ser filtrado usando endereços IP, FQDNs, marcas de serviço ou marcas FQDN.

  • Use uma solução de um parceiro terceiro nos hubs se o tráfego consistir em acesso de aplicativo SaaS ou se você precisar de filtragem com reconhecimento do usuário (por exemplo, para suas cargas de trabalho de infraestrutura da área de trabalho virtual - VDI) ou no caso de recursos avançados de filtragem da Internet.

Todos os cenários para o Gerenciador de Firewall do Azure

Gerenciar o tráfego do Microsoft 365

Em cenários de localização de branch distribuída globalmente, você deve redirecionar o tráfego do Microsoft 365 diretamente para o branch antes de enviar o tráfego restante da Internet para o hub protegido do Azure.

No caso do Microsoft 365, a latência de rede e o desempenho são essenciais para que o usuário tenha uma experiência de sucesso. Para atingir essas metas em relação ao desempenho ideal e à experiência do usuário, os clientes devem implementar o escape direto e local do Microsoft 365 antes de considerarem o roteamento do restante do tráfego da Internet por meio do Azure.

Os princípios de conectividade do Microsoft 365 requerem que as principais conexões de rede do Microsoft 365 sejam roteadas localmente do branch do usuário ou do dispositivo móvel e diretamente pela Internet para o ponto de presença de rede da Microsoft mais próximo.

Além disso, as conexões do Microsoft 365 são criptografadas para fins de privacidade e usam protocolos eficientes e proprietários por motivos de desempenho. Com isso, sujeitar essas conexões a soluções tradicionais de segurança no nível da rede é impraticável e traz impactos indesejáveis. Por esses motivos, recomendamos que os clientes enviem o tráfego do Microsoft 365 diretamente de branches antes de enviarem o restante do tráfego por meio do Azure. A Microsoft tem parcerias com vários provedores de soluções SD-WAN, que se integram ao Azure e ao Microsoft 365 e simplificam a habilitação de uma sessão de internet direta e local para o Microsoft 365. Para obter detalhes, consulte o que é a WAN Virtual do Azure?

Próximas etapas

Implante uma oferta de parceiro de segurança em um hub protegido usando o Gerenciador de Firewall do Azure.