Definieren von Netzwerkverschlüsselungsanforderungen

In diesem Abschnitt werden wichtige Empfehlungen zum Einrichten der Netzwerkverschlüsselung zwischen der lokalen Umgebung und Azure sowie über Azure-Regionen hinweg behandelt.

Überlegungen zum Entwurf:

• Kosten und verfügbare Bandbreite sind umgekehrt proportional zur Länge des Verschlüsselungstunnels zwischen Endpunkten.

• Wenn Sie mit VPN eine Verbindung mit Azure herstellen, wird der Datenverkehr über das Internet über IPsec-Tunnel (IP Security) verschlüsselt.

• Bei Verwendung von ExpressRoute mit privatem Peering wird Datenverkehr derzeit nicht verschlüsselt.

• Es ist möglich, eine Site-to-Site-VPN-Verbindung über privates ExpressRoute-Peering zu konfigurieren.

• Sie können die Verschlüsselung Media Access Control Security (MACsec) auf ExpressRoute Direct anwenden, um eine Netzwerkverschlüsselung zu erreichen.

• Wenn Azure-Datenverkehr zwischen Rechenzentren (außerhalb physischer Grenzen, die nicht von Microsoft oder im Auftrag von Microsoft kontrolliert werden) fließt, wird auf der zugrunde liegenden Netzwerkhardware eine MACsec-Verschlüsselung für die Sicherungsschicht verwendet. Dies gilt für VNET-Peeringdatenverkehr.

Entwurfsempfehlungen:

Abbildung 1: Verschlüsselungsabläufe

• Beim Einrichten von VPN-Verbindungen von einer lokalen Umgebung über VPN-Gateways mit Azure wird Datenverkehr auf einer Protokollebene durch IPsec-Tunnel verschlüsselt. Dies wird im obigen Diagramm in Datenfluss A veranschaulicht.

• Konfigurieren Sie bei Verwendung von ExpressRoute Direct MACsec, um Datenverkehr auf Ebene 2 zwischen den Routern Ihrer Organisation und MSEE zu verschlüsseln. Dies wird im Diagramm in Datenfluss B veranschaulicht.

• In Virtual WAN-Szenarios, bei denen MACsec keine Option darstellt (z. B. keine Verwendung von ExpressRoute Direct), verwenden Sie ein Virtual WAN-VPN Gateway, um IPsec-Tunnel über privates ExpressRoute-Peering einzurichten. Dies wird im Diagramm in Datenfluss C veranschaulicht.

• Bei Szenarios ohne Virtual WAN, in denen MACsec keine Option ist (z. B. keine Verwendung von ExpressRoute Direct), gibt es nur die folgenden Optionen:

  • Verwenden Sie Partner-NVAs, um IPsec-Tunnel über das private ExpressRoute-Peering einzurichten.
  • Richten Sie mit Microsoft-Peering einen VPN-Tunnel über ExpressRoute ein.
  • Überprüfen Sie die Funktion zum Konfigurieren einer Site-to-Site-VPN-Verbindung über privates ExpressRoute-Peering.

• Wenn native Azure-Lösungen (wie in den Datenflüssen B und C im Diagramm dargestellt) Ihren Anforderungen nicht entsprechen, verwenden Sie Partner-NVAs in Azure, um den Datenverkehr über das private ExpressRoute-Peering zu verschlüsseln.