Office 365-connectiviteit optimaliseren voor externe gebruikers met VPN-split-tunneling
Voor klanten die hun externe werknemersapparaten verbinden met het bedrijfsnetwerk of de cloudinfrastructuur via VPN, raadt Microsoft aan dat de belangrijkste Office 365-scenario's Microsoft Teams, SharePoint Online en Exchange Online worden gerouteerd via een VPN-splits tunnelconfiguratie. Dit wordt vooral belangrijk als de eerste regelstrategie om de productiviteit van werknemers te blijven verhogen tijdens grootschalige werk-van-huis-gebeurtenissen, zoals de COVID-19-crisis.
Afbeelding 1: Een VPN-oplossing voor gesplitste tunnel met gedefinieerde Office 365 uitzonderingen die rechtstreeks naar de service worden verzonden. Al het andere verkeer doorkruist de VPN-tunnel, ongeacht de bestemming.
De essentie van deze benadering is het bieden van een eenvoudige methode voor ondernemingen om het risico van verzadiging van VPN-infrastructuur te beperken en de prestaties Office 365 zo kort mogelijk te verbeteren. Het configureren van VPN-clients om het meest kritieke, hoge volume Office 365 om de VPN-tunnel te omzeilen, biedt de volgende voordelen:
Vermindert onmiddellijk de hoofdoorzaak van de meeste door de klant gerapporteerde prestaties en netwerkcapaciteitsproblemen in VPN-architecturen van ondernemingen die van invloed zijn op Office 365 gebruikerservaring
De aanbevolen oplossing is specifiek Office 365 service-eindpunten die zijn gecategoriseerd als Optimaliseren in het onderwerp Office 365 URL's en IP-adresbereiken. Verkeer naar deze eindpunten is zeer gevoelig voor latentie en bandbreedtebeperking. Als u de VPN-tunnel kunt omzeilen, kan dit de ervaring van eindgebruikers aanzienlijk verbeteren en de belasting van het bedrijfsnetwerk verminderen. Office 365 verbindingen die niet de meeste bandbreedte of gebruikerservaring vormen, kunnen nog steeds worden gerouteerd via de VPN-tunnel, samen met de rest van het internetverkeer. Zie De vpn-gesplitste tunnelstrategievoor meer informatie.
Kan snel worden geconfigureerd, getest en geïmplementeerd door klanten en zonder extra infrastructuur- of toepassingsvereisten
Afhankelijk van het VPN-platform en de netwerkarchitectuur kan de implementatie slechts enkele uren duren. Zie VPN splits tunneling implementerenvoor meer informatie.
Behoudt de beveiligingsstatus van VPN-implementaties van klanten door niet te wijzigen hoe andere verbindingen worden gerouteerd, inclusief verkeer naar internet
De aanbevolen configuratie volgt het minste privilegeprincipe voor VPN-verkeers uitzonderingen en stelt klanten in staat vpn-gesplitste tunnel te implementeren zonder gebruikers of infrastructuur bloot te stellen aan extra beveiligingsrisico's. Netwerkverkeer dat rechtstreeks naar Office 365-eindpunten wordt gerouteerd, wordt versleuteld, gevalideerd voor integriteit door Office-clienttoepassingsstapels en gebereikt naar IP-adressen die zijn toegewezen aan Office 365-services die zowel op toepassings- als netwerkniveau zijn gehard. Zie Alternatieve manieren voor beveiligingsprofessionals en IT voor moderne beveiligingsbesturingselementen in de unieke scenario's voor extern werk van vandaag (Microsoft Security Team blog)voor meer informatie.
Wordt inheems ondersteund door de meeste ENTERPRISE VPN-platforms
Microsoft blijft samenwerken met branchepartners die commerciële VPN-oplossingen produceren om partners te helpen bij het ontwikkelen van gerichte richtlijnen en configuratiesjablonen voor hun oplossingen in overeenstemming met de bovenstaande aanbevelingen. Zie HOWTO-handleidingen voor veelgebruikte VPN-platformsvoor meer informatie.
Tip
Microsoft raadt aan de VPN-configuratie voor gesplitste tunnel te richten op gedocumenteerde speciale IP-Office 365 services. FQDN- of AppID-gebaseerde split tunnelconfiguraties, hoewel dit mogelijk is op bepaalde VPN-clientplatforms, omvatten mogelijk niet volledig belangrijke Office 365-scenario's en kunnen conflicteren met IP-gebaseerde VPN-routeringsregels. Om deze reden raadt Microsoft niet aan om FQDN's Office 365 gebruiken om vpn-gesplitste tunnel te configureren. Het gebruik van FQDN-configuratie kan handig zijn in andere gerelateerde scenario's, zoals .pac-bestandsaanpassingen of om proxy bypass te implementeren.
Zie Vpn splits tunnelingimplementeren voor Office 365.
Zie Uw infrastructuur voor extern werk instellen voor stapsgewijs configureren van Microsoft 365 voor externe werknemers
De VPN-strategie voor gesplitste tunnel
Traditionele bedrijfsnetwerken zijn vaak ontworpen om veilig te werken voor een pre-cloud wereld waar de belangrijkste gegevens, services, toepassingen on-premises worden gehost en rechtstreeks zijn verbonden met het interne bedrijfsnetwerk, net als de meeste gebruikers. De netwerkinfrastructuur is dus opgebouwd rond deze elementen, omdat filialen zijn verbonden met het hoofdkantoor via MPLS-netwerken (Multiprotocol Label Switching) en externe gebruikers verbinding moeten maken met het bedrijfsnetwerk via een VPN om toegang te krijgen tot zowel on-premises eindpunten als internet. In dit model doorkruist al het verkeer van externe gebruikers het bedrijfsnetwerk en wordt dit via een gemeenschappelijk uitgangspunt doorgeleid naar de cloudservice.
Afbeelding 2: Een veelgebruikte VPN-oplossing voor externe gebruikers waarbij al het verkeer terug wordt geforceerd naar het bedrijfsnetwerk, ongeacht de bestemming
Naarmate organisaties gegevens en toepassingen naar de cloud verplaatsen, is dit model minder effectief geworden omdat het snel omslachtig, duur en oncalable wordt, waardoor de netwerkprestaties en -efficiëntie van gebruikers aanzienlijk worden beïnvloed en de organisatie niet meer in staat is zich aan te passen aan veranderende behoeften. Talloze Microsoft-klanten hebben gemeld dat een paar jaar geleden 80% van het netwerkverkeer naar een interne bestemming was, maar in 2020 80% plus van het verkeer verbinding maakt met een externe cloudresource.
De COVID-19-crisis heeft dit probleem verergerd om onmiddellijke oplossingen te vereisen voor de overgrote meerderheid van de organisaties. Veel klanten hebben ontdekt dat het gedwongen VPN-model niet schaalbaar of performant genoeg is voor 100% externe werkscenario's, zoals die waarvoor deze crisis noodzakelijk is. Snelle oplossingen zijn vereist om deze organisaties efficiënt te laten blijven werken.
Voor de Office 365-service heeft Microsoft de connectiviteitsvereisten voor de service ontworpen met dit probleem in gedachten, waarbij een gerichte, strak gecontroleerde en relatief statische set service-eindpunten heel eenvoudig en snel kan worden geoptimaliseerd om hoge prestaties te leveren voor gebruikers die toegang hebben tot de service en om de belasting voor de VPN-infrastructuur te verminderen, zodat deze kan worden gebruikt door verkeer dat deze nog steeds nodig heeft.
Office 365 categoriseert de vereiste eindpunten voor Office 365 in drie categorieën: Optimaliseren, Toestaan en Standaard. Eindpunten optimaliseren zijn onze focus hier en hebben de volgende kenmerken:
- Zijn Microsoft-eindpunten die eigendom zijn van En beheerd, gehost op Microsoft-infrastructuur
- Zijn gewijd aan Office 365 werkbelastingen zoals Exchange Online, SharePoint Online, Skype voor Bedrijven Online en Microsoft Teams
- IPs beschikbaar hebben
- Lage veranderingssnelheid en zal naar verwachting klein blijven (momenteel 20 IP-subnetten)
- Zijn hoog volume en/of latentiegevoelig
- Kunnen vereiste beveiligingselementen in de service hebben in plaats van inline op het netwerk
- Goed voor ongeveer 70-80% van het volume van het verkeer naar de Office 365 service
Deze set eindpunten met een beperkt bereik kan worden gesplitst uit de gedwongen VPN-tunnel en veilig en rechtstreeks naar de Office 365-service worden verzonden via de lokale interface van de gebruiker. Dit wordt splits tunneling genoemd.
Beveiligingselementen zoals DLP, AV-beveiliging, verificatie en toegangsbeheer kunnen allemaal veel efficiënter worden geleverd tegen deze eindpunten op verschillende lagen binnen de service. Aangezien we ook het grootste deel van het verkeersvolume van de VPN-oplossing afleiden, wordt de VPN-capaciteit vrij voor bedrijfskritisch verkeer dat er nog steeds van afhankelijk is. Het moet er ook voor zorgen dat er in veel gevallen geen lange en dure upgradeprogramma's meer nodig zijn om deze nieuwe manier van werken aan te kunnen.
Afbeelding 3: Een VPN-oplossing voor gesplitste tunnel met gedefinieerde Office 365 uitzonderingen die rechtstreeks naar de service worden verzonden. Al het andere verkeer wordt teruggeplaatst naar het bedrijfsnetwerk, ongeacht de bestemming.
Vanuit beveiligingsperspectief beschikt Microsoft over een reeks beveiligingsfuncties die kunnen worden gebruikt om vergelijkbare of zelfs verbeterde beveiliging te bieden dan die welke worden geleverd door inline-inspectie door on-premises beveiligingsstacks. Het blogbericht van het Microsoft-beveiligingsteam Alternatieve manieren voor beveiligingsprofessionals en IT om moderne beveiligingsbesturingselementen te bereiken in de unieke scenario's voor extern werk van vandaag, bevat een duidelijke samenvatting van de beschikbare functies en in dit artikel vindt u meer gedetailleerde richtlijnen. U kunt ook lezen over microsofts implementatie van VPN split tunneling bij Running on VPN:How Microsoft is keeping its remote workforce connected .
In veel gevallen kan deze implementatie binnen een paar uur worden uitgevoerd, waardoor een snelle oplossing kan worden bereikt voor een van de meest urgente problemen waarmee organisaties worden geconfronteerd wanneer ze snel over schakelen naar volledig werken op afstand. Zie Vpn split tunnelingimplementeren voor Office 365.
Verwante onderwerpen
VPN splits tunneling implementeren voor Office 365
Office 365 prestatieoptimalisatie voor Gebruikers van China
Werken met VPN: hoe Microsoft zijn externe werknemers verbonden houdt
Beginselen voor Office 365-netwerkverbinding