Share via

Definiowanie wymagań dotyczących szyfrowania sieci

  • Artykuł

W tej sekcji poznać najważniejsze zalecenia dotyczące szyfrowania sieci między środowiskiem lokalnym a platformą Azure, a także w regionach świadczenia usługi Azure.

Zagadnienia dotyczące projektowania:

  • Koszt i dostępna przepustowość są odwrotnie proporcjonalne do długości tunelu szyfrowania między punktami końcowymi.

  • Gdy używasz sieci VPN do nawiązywania połączenia z platformą Azure, ruch jest szyfrowany przez Internet za pośrednictwem tuneli IPsec.

  • W przypadku korzystania z usługi ExpressRoute z prywatną komunikacją równorzędną ruch nie jest obecnie szyfrowany.

  • Istnieje możliwość skonfigurowania połączenia sieci VPN typu lokacja-lokacja za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute.

  • Szyfrowanie zabezpieczeń kontroli dostępu do multimediów (MACsec) można zastosować do usługi ExpressRoute Direct w celu osiągnięcia szyfrowania sieci.

  • Gdy ruch platformy Azure przechodzi między centrami danych (poza granicami fizycznymi, które nie są kontrolowane przez firmę Microsoft lub w imieniu firmy Microsoft), szyfrowanie warstwy łącza danych MACsec jest używane na podstawowym sprzęcie sieciowym. Dotyczy to ruchu komunikacji równorzędnej sieci wirtualnych.

Zalecenia dotyczące projektowania:

Diagram przedstawiający przepływy szyfrowania.

Rysunek 1. Przepływy szyfrowania.

  • Podczas nawiązywania połączeń sieci VPN ze środowiska lokalnego do platformy Azure przy użyciu bram sieci VPN ruch jest szyfrowany na poziomie protokołu za pośrednictwem tuneli IPsec. Na powyższym diagramie przedstawiono to szyfrowanie w przepływie A.

  • W przypadku korzystania z usługi ExpressRoute Direct skonfiguruj protokół MACsec w celu szyfrowania ruchu w warstwie 2 między routerami organizacji i protokołem MSEE. Na diagramie przedstawiono to szyfrowanie w przepływie B.

  • W przypadku scenariuszy Virtual WAN, w których protokół MACsec nie jest opcją (na przykład nie używasz usługi ExpressRoute Direct), użyj Virtual WAN VPN Gateway do ustanowienia tuneli IPsec za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute. Na diagramie przedstawiono to szyfrowanie w przepływie C.

  • W przypadku scenariuszy innych niż Virtual WAN i gdy protokół MACsec nie jest opcją (na przykład nie korzystasz z usługi ExpressRoute Direct), jedynymi opcjami są:

    • Użyj wirtualnych urządzeń WUS partnera, aby ustanowić tunele IPsec za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute.
    • Ustanów tunel VPN za pośrednictwem usługi ExpressRoute za pomocą komunikacji równorzędnej firmy Microsoft.
    • Oceń możliwość skonfigurowania połączenia sieci VPN typu lokacja-lokacja za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute.

  • Jeśli natywne rozwiązania platformy Azure (jak pokazano w przepływach B i C na diagramie) nie spełniają Twoich wymagań, użyj wirtualnych urządzeń WUS partnerów na platformie Azure do szyfrowania ruchu za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute.