네트워크 암호화 요구 사항 정의

이 섹션에서는 온-프레미스와 Azure 간에 그리고 Azure 지역에서 네트워크 암호화를 구현 하는 주요 권장 사항을 설명 합니다.

디자인 고려 사항:

  • 비용 및 사용 가능한 대역폭은 끝점 간의 암호화 터널 길이와 반비례 합니다.

  • VPN을 사용 하 여 Azure에 연결 하는 경우 트래픽은 IPsec 터널을 통해 인터넷을 통해 암호화 됩니다.

  • 개인 피어 링으로 Express 경로를 사용 하는 경우 트래픽은 현재 암호화 되지 않습니다.

  • Express 경로 개인 피어 링을 통해 사이트 간 VPN 연결을 구성 하는 것은 현재 미리 보기로제공 됩니다.

  • 네트워크 암호화를 달성할 수 있도록 Express 경로 직접에 MACsec (미디어 액세스 제어 보안) 암호화를 적용할 수 있습니다.

  • Azure 트래픽이 데이터 센터 (Microsoft 또는 Microsoft를 대신 하 여 제어 하지 않는 물리적 경계 외부) 간에 이동 하는 경우 Macsec 데이터 링크 계층 암호화 가 기본 네트워크 하드웨어에 사용 됩니다. 이는 VNet 피어 링 트래픽에 적용 됩니다.

디자인 권장 사항:

암호화 흐름을 보여 주는 다이어그램.

그림 1: 암호화 흐름

  • VPN gateway를 사용 하 여 온-프레미스에서 Azure로 VPN 연결을 설정 하는 경우 트래픽은 IPsec 터널을 통해 프로토콜 수준에서 암호화 됩니다. 위의 다이어그램에서는이 암호화 흐름을 보여 줍니다 A .

  • Express 경로 직접를 사용 하는 경우 조직의 라우터와 MSEE 간 두 수준 간에 계층의 트래픽을 암호화 하기 위해 Macsec 를 구성 합니다. 다이어그램은이 암호화 흐름을 보여 줍니다 B .

  • MACsec가 옵션이 아닌 가상 WAN 시나리오의 경우 (예: Express 경로 직접 사용 안 함) 가상 WAN VPN gateway를 사용 하 여 express 경로 개인 피어 링을 통해 IPsec 터널을 설정 합니다. 다이어그램은이 암호화 흐름을 보여 줍니다 C .

  • 비가상 WAN 시나리오의 경우 및 MACsec가 옵션이 아닌 경우 (예: Express 경로 직접 사용 안 함) 유일한 옵션은 다음과 같습니다.

    • Partner Nva를 사용 하 여 Express 경로 개인 피어 링을 통해 IPsec 터널을 설정 합니다.
    • Microsoft 피어 링을 통해 Express 경로를 통해 VPN 터널을 설정 합니다.
    • 미리 보기에서express 경로 개인 피어 링을 통해 사이트 간 VPN 연결을 구성 하는 기능을 평가 합니다.
  • Azure 지역 간의 트래픽을 암호화 해야 하는 경우 글로벌 VNet 피어 링을 사용 하 여 지역에서 가상 네트워크를 연결 합니다.

  • 기본 Azure 솔루션 (흐름 및 다이어그램에 표시 B C )이 요구 사항을 충족 하지 않는 경우 azure에서 파트너 nva을 사용 하 여 express 경로 개인 피어 링을 통해 트래픽을 암호화 합니다.