Definování požadavků na šifrování sítěDefine network encryption requirements

V této části jsou popsána klíčová doporučení pro zajištění šifrování sítě mezi místními počítači a Azure i napříč oblastmi Azure.This section explores key recommendations to achieve network encryption between on-premises and Azure as well as across Azure regions.

Faktory návrhu:Design considerations:

  • Náklady a dostupná šířka pásma jsou v opačném poměrně úměrné délce šifrovacího tunelu mezi koncovými body.Cost and available bandwidth are inversely proportional to the length of the encryption tunnel between endpoints.

  • Když používáte síť VPN pro připojení k Azure, provoz se šifruje přes Internet přes tunely IPsec.When you're using a VPN to connect to Azure, traffic is encrypted over the internet via IPsec tunnels.

  • Pokud používáte ExpressRoute se soukromým partnerským vztahem, provoz není momentálně zašifrovaný.When you're using ExpressRoute with private peering, traffic isn't currently encrypted.

  • Konfigurace připojení VPN typu Site-to-site přes privátní partnerský vztah ExpressRoute je teď ve verzi Preview.Configuring a Site-to-Site VPN connection over ExpressRoute private peering is now in preview.

  • K zajištění šifrování sítě můžete použít šifrování MACsec (Media Access Control Security) na ExpressRoute Direct.You can apply media access control security (MACsec) encryption to ExpressRoute Direct to achieve network encryption.

  • Při přesunu provozu Azure mezi datacentry (mimo fyzické hranice, které nespravuje Microsoft ani jménem Microsoftu) se na podkladovém síťovém hardwaru používá šifrování vrstvy MACsec Data-Link .When Azure traffic moves between datacenters (outside physical boundaries not controlled by Microsoft or on behalf of Microsoft), MACsec data-link layer encryption is used on the underlying network hardware. To platí pro provoz partnerských vztahů virtuálních sítí.This is applicable to VNet peering traffic.

Doporučení pro návrh:Design recommendations:

Diagram ilustrující toky šifrování

Obrázek 1: toky šifrování.Figure 1: Encryption flows.

  • Když vytváříte připojení VPN z místního prostředí do Azure pomocí bran VPN, provoz se šifruje na úrovni protokolu prostřednictvím tunelů IPsec.When you're establishing VPN connections from on-premises to Azure by using VPN gateways, traffic is encrypted at a protocol level through IPsec tunnels. V předchozím diagramu se toto šifrování zobrazuje v toku A .The preceding diagram shows this encryption in flow A.

  • Pokud používáte ExpressRoute Direct, nakonfigurujte MACsec , abyste mohli šifrovat provoz na úrovni vrstev – dvě mezi směrovači a MSEE.When you're using ExpressRoute Direct, configure MACsec in order to encrypt traffic at the layer-two level between your organization's routers and MSEE. Diagram znázorňuje toto šifrování v toku B .The diagram shows this encryption in flow B.

  • U scénářů virtuální sítě WAN, kde MACsec není možnost (například nepoužívá ExpressRoute Direct), použijte virtuální bránu sítě WAN VPN Gateway pro vytváření tunelů IPsec přes privátní partnerský vztah ExpressRoute.For Virtual WAN scenarios where MACsec isn't an option (for example, not using ExpressRoute Direct), use a Virtual WAN VPN gateway to establish IPsec tunnels over ExpressRoute private peering. Diagram znázorňuje toto šifrování v toku C .The diagram shows this encryption in flow C.

  • U nevirtuálních scénářů sítě WAN a v případě, že MACsec není možností (například bez použití ExpressRoute Direct), jsou jedinými možnostmi tyto možnosti:For non-Virtual WAN scenarios, and where MACsec isn't an option (for example, not using ExpressRoute Direct), the only options are:

    • Pomocí partnerských síťová virtuální zařízení můžete vytvořit tunely IPsec přes privátní partnerský vztah ExpressRoute.Use partner NVAs to establish IPsec tunnels over ExpressRoute private peering.
    • Vytvořte tunel VPN přes ExpressRoute s partnerským vztahem Microsoftu.Establish a VPN tunnel over ExpressRoute with Microsoft peering.
    • Vyhodnoťte možnost konfigurace připojení VPN typu Site-to-site přes privátní partnerský vztah ExpressRoute (ve verzi Preview).Evaluate the capability to configure a Site-to-Site VPN connection over ExpressRoute private peering (in preview.
  • Pokud musí být provoz mezi oblastmi Azure zašifrovaný, použijte globální partnerský vztah virtuálních sítí pro propojení virtuálních sítí napříč oblastmi.If traffic between Azure regions must be encrypted, use global VNet peering to connect virtual networks across regions.

  • Pokud nativní řešení Azure (uvedená v tocích B a C v diagramu) nesplňují vaše požadavky, použijte Partnerská síťová virtuální zařízení v Azure k šifrování provozu přes privátní partnerský vztah ExpressRoute.If native Azure solutions (as shown in flows B and C in the diagram) don't meet your requirements, use partner NVAs in Azure to encrypt traffic over ExpressRoute private peering.