توزيع الجهة الشريكة في توفير الأمان
يسمح لك موفرو شركاء الأمان في Azure Firewall Manager باستخدام عروض أمان الطرف الثالث المألوفة والأفضل في النوع كخدمة (SECaaS) لحماية الوصول إلى الإنترنت لمستخدميك.
لمعرفة المزيد حول السيناريوهات المدعومة وإرشادات أفضل الممارسات، راجع ما المقصود بموفري شركاء الأمان؟
يتوفر الآن شركاء أمان كخدمة (SECaaS) لجهات خارجية متكاملة:
- Zscaler
نشر موفر أمان تابع لجهة خارجية في مركز جديد
تخطي هذا القسم إذا كنت تقوم بنشر موفر جهة خارجية في مركز موجود.
- قم بتسجيل الدخول إلى بوابة Azure.
- في Search، اكتب Firewall Manager وحدده ضمن Services.
- انتقل إلى نظرة عامة. حدد View secured virtual hubs.
- حدد Create new secured virtual hub.
- أدخل اشتراكك ومجموعة الموارد، وحدد منطقة مدعومة، وأضف معلومات المركز وWAN الظاهرية.
- حدد Include VPN gateway to enable Security Partner Providers.
- حدد Gateway scale units المناسبة لمتطلباتك.
- اختر Next: Azure Firewall
إشعار
يتصل موفرو شركاء الأمان بمركزك باستخدام أنفاق بوابة VPN. إذا قمت بحذف بوابة VPN، فستفقد الاتصالات بموفري شركاء الأمان.
- إذا كنت ترغب في نشر Azure Firewall لتصفية نسبة استخدام الشبكة الخاصة جنبًا إلى جنب مع موفر خدمة تابع لجهة خارجية لتصفية حركة مرور الإنترنت، فحدد نهج جدار حماية Azure. راجع السيناريوهات المدعومة.
- إذا كنت تريد نشر موفر أمان تابع لجهة خارجية فقط في المركز، فحدد Azure Firewall: Enabled/Disabled لتعيينه إلى Disabled.
- حدد Next: Security Partner Provider.
- عيّن Security Partner Provider إلى Enabled.
- حدد شريكًا.
- حدّد Next: Review + create.
- راجع المحتوى، ثم حدّد Create.
يمكن أن يستغرق نشر بوابة VPN أكثر من 30 دقيقة.
للتحقق من إنشاء المركز، انتقل إلى Azure Firewall Manager-Overview-View>> secured virtual hubs. ترى اسم موفر شريك الأمان وحالة شريك الأمان ك "اتصال أمان معلق".
بمجرد إنشاء المركز وإعداد شريك الأمان، تابع لتوصيل موفر الأمان بالمركز.
نشر موفر أمان تابع لجهة خارجية في مركز موجود
يمكنك أيضًا تحديد مركز موجود في Virtual WAN وتحويله إلى مركز ظاهري آمن.
- في Getting Started، Overview، حدد View secured virtual hubs.
- حدد Convert existing hubs.
- حدد اشتراكًا ومركزًا موجودًا. اتبع بقية الخطوات لنشر موفر جهة خارجية في مركز جديد.
تذكر أنه يجب نشر بوابة VPN لتحويل مركز موجود إلى مركز آمن مع موفري الجهات الخارجية.
تكوين موفري أمان الجهات الخارجية للاتصال بمركز آمن
لإعداد الأنفاق إلى بوابة VPN الخاصة بمركزك الظاهري، يحتاج موفرو الجهات الخارجية إلى حقوق الوصول إلى المركز الخاص بك. للقيام بذلك، قم بإقران كيان خدمة باشتراكك أو مجموعة الموارد الخاصة بك، وامنح حقوق الوصول. ثم يجب عليك إعطاء بيانات الاعتماد هذه لجهة خارجية باستخدام مدخلها.
إشعار
ينشئ موفرو أمان الجهات الخارجية موقع VPN نيابة عنك. لا يظهر موقع VPN هذا في مدخل Microsoft Azure.
إنشاء وتفويض كيان الخدمة
إنشاء كيان خدمة Microsoft Entra: يمكنك تخطي عنوان URL لإعادة التوجيه.
كيفية: استخدام المدخل لإنشاء تطبيق Microsoft Entra ومدير الخدمة الذي يمكنه الوصول إلى الموارد
أضف حقوق الوصول والنطاق لكيان الخدمة. كيفية: استخدام المدخل لإنشاء تطبيق Microsoft Entra ومدير الخدمة الذي يمكنه الوصول إلى الموارد
إشعار
يمكنك تقييد الوصول إلى مجموعة الموارد الخاصة بك فقط لمزيد من التحكم الدقيق.
زيارة بوابة الشريك
اتبع الإرشادات المقدمة من شريكك لإكمال الإعداد. يتضمن ذلك إرسال معلومات Microsoft Entra للكشف عن المركز والاتصال به، وتحديث نهج الخروج، والتحقق من حالة الاتصال والسجلات.
يمكنك إلقاء نظرة على حالة إنشاء النفق على مدخل Azure Virtual WAN في Azure. بمجرد أن تظهر الأنفاق connected على كل من Azure ومدخل الشريك، تابع الخطوات التالية لإعداد المسارات لتحديد الفروع والشبكات الظاهرية التي يجب أن ترسل حركة مرور الإنترنت إلى الشريك.
يمكنك إضافة أجهزة ظاهرية أخرى للشبكة إلى مركز شبكة WAN الظاهرية. لمزيد من المعلومات، راجع حول NVAs في مركز Virtual WAN.
تكوين الأمان باستخدام Firewall Manager
استعرض للوصول إلى Azure Firewall Manager -> المراكز الآمنة.
تحديد مركز يجب أن تظهر حالة المركز الآن Provisioned بدلاً من Security Connection Pending.
تأكد من أن موفر الجهة الخارجية يمكنه الاتصال بالمركز. يجب أن تكون الأنفاق على بوابة VPN في حالة Connected. هذه الحالة أكثر انعكاسًا لصحة الاتصال بين المركز وشريك الطرف الثالث، مقارنة بالحالة السابقة.
حدد المركز، وانتقل إلى Security Configurations.
عند نشر موفر جهة خارجية في المركز، فإنه يحول المركز إلى مركز ظاهري آمن. يضمن هذا أن الموفر الخارجي يعلن عن مسار 0.0.0.0/0 (افتراضي) إلى المركز. ومع ذلك، لا تحصل اتصالات الشبكة الظاهرية والمواقع المتصلة بالمركز على هذا المسار إلا إذا قمت بالاشتراك في الاتصالات التي يجب أن تحصل على هذا المسار الافتراضي.
إشعار
لا تقم بإنشاء مسار 0.0.0.0/0 (افتراضي) يدويًا عبر BGP لإعلانات الفرع. يتم ذلك تلقائيًا لنشر المركز الظاهري الآمن مع موفري أمان الجهات الخارجية. قد يؤدي القيام بذلك إلى قطع عملية النشر.
تكوين أمان شبكة WAN الظاهرية عن طريق تعيين Internet Traffic عبر جدار حماية Azure وحركة Private Traffic عبر شريك أمان موثوق به. يؤدي ذلك إلى تأمين الاتصالات الفردية تلقائيًا في Virtual WAN.
بالإضافة إلى ذلك، إذا كانت مؤسستك تستخدم نطاقات IP العامة في الشبكات الظاهرية والمكاتب الفرعية، فستحتاج إلى تحديد بادئات IP هذه بشكل صريح باستخدام بادئات نسبة استخدام الشبكة الخاصة. يمكن تحديد بادئات عناوين IP العامة بشكل فردي أو كمجاميع.
إذا كنت تستخدم عناوين غير RFC1918 لبادئات نسبة استخدام الشبكة الخاصة، فقد تحتاج إلى تكوين نهج SNAT لجدار الحماية لتعطيل SNAT لنسبة استخدام الشبكة الخاصة غير RFC1918. بشكل افتراضي، Azure Firewall SNATs جميع نسبة استخدام الشبكة غير RFC1918.
حركة مرور الإنترنت عبر الفرع أو الشبكة الظاهرية عبر خدمة الجهات الخارجية
بعد ذلك، يمكنك التحقق مما إذا كانت الأجهزة الظاهرية للشبكة الظاهرية أو موقع الفرع يمكنها الوصول إلى الإنترنت والتحقق من تدفق نسبة استخدام الشبكة إلى خدمة الجهات الخارجية.
بعد الانتهاء من خطوات إعداد المسار، يتم إرسال الأجهزة الظاهرية للشبكة الظاهرية ومواقع الفروع 0/0 إلى مسار الخدمة التابع لجهة خارجية. لا يمكنك RDP أو SSH في هذه الأجهزة الظاهرية. لتسجيل الدخول، يمكنك نشر خدمة Azure Bastion في شبكة ظاهرية نظيرة.
تكوين قاعدة
استخدم مدخل الشريك لتكوين قواعد جدار الحماية. يمر جدار حماية Azure بحركة المرور.
على سبيل المثال، قد تلاحظ حركة المرور المسموح بها من خلال جدار حماية Azure، على الرغم من عدم وجود قاعدة صريحة للسماح بنسبة استخدام الشبكة. وذلك لأن Azure Firewall يمرر نسبة استخدام الشبكة إلى موفر شريك أمان الوثب التالي (ZScalar). لا يزال جدار حماية Azure يحتوي على قواعد للسماح بنسبة استخدام الشبكة الصادرة، ولكن لم يتم تسجيل اسم القاعدة.
لمزيد من المعلومات، راجع وثائق الشريك.