Definir requisitos de encriptação de redeDefine network encryption requirements

Esta secção explora recomendações-chave para alcançar a encriptação da rede entre as instalações e o Azure, bem como em todas as regiões de Azure.This section explores key recommendations to achieve network encryption between on-premises and Azure as well as across Azure regions.

Considerações de conceção:Design considerations:

  • Os custos e a largura de banda disponível são inversamente proporcionais ao comprimento do túnel de encriptação entre pontos finais.Cost and available bandwidth are inversely proportional to the length of the encryption tunnel between endpoints.

  • Quando se está a usar uma VPN para ligar ao Azure, o tráfego é encriptado através da internet através de túneis IPsec.When you're using a VPN to connect to Azure, traffic is encrypted over the internet via IPsec tunnels.

  • Quando se está a usar o ExpressRoute com um olhar privado, o tráfego não está atualmente encriptado.When you're using ExpressRoute with private peering, traffic isn't currently encrypted.

  • Configurar uma ligação VPN site-to-site sobre o espreitamento privado ExpressRoute está agora em pré-visualização.Configuring a Site-to-Site VPN connection over ExpressRoute private peering is now in preview.

  • Pode aplicar a encriptação de segurança do controlo de acesso aos meios de comunicação (MACsec) ao ExpressRoute Direct para obter encriptação de rede.You can apply media access control security (MACsec) encryption to ExpressRoute Direct to achieve network encryption.

  • Quando o tráfego Azure se move entre datacenters (limites físicos externos não controlados pela Microsoft ou em nome da Microsoft), a encriptação da camada de ligação de dados MACsec é usada no hardware de rede subjacente.When Azure traffic moves between datacenters (outside physical boundaries not controlled by Microsoft or on behalf of Microsoft), MACsec data-link layer encryption is used on the underlying network hardware. Isto é aplicável ao tráfego de observação VNet.This is applicable to VNet peering traffic.

Recomendações de design:Design recommendations:

Diagrama que ilustra fluxos de encriptação.

Figura 1: Fluxos de encriptação.Figure 1: Encryption flows.

  • Quando você está estabelecendo ligações VPN de no local para Azure usando gateways VPN, o tráfego é encriptado a um nível de protocolo através dos túneis IPsec.When you're establishing VPN connections from on-premises to Azure by using VPN gateways, traffic is encrypted at a protocol level through IPsec tunnels. O diagrama anterior mostra esta encriptação em fluxo A .The preceding diagram shows this encryption in flow A.

  • Quando estiver a utilizar o ExpressRoute Direct, configuure o MACsec para encriptar o tráfego no nível de camada dois entre os routers da sua organização e o MSEE.When you're using ExpressRoute Direct, configure MACsec in order to encrypt traffic at the layer-two level between your organization's routers and MSEE. O diagrama mostra esta encriptação em B fluxo.The diagram shows this encryption in flow B.

  • Para cenários de WAN virtuais onde o MACsec não é uma opção (por exemplo, não utilizar o ExpressRoute Direct), utilize uma porta virtual WAN VPN para estabelecer túneis IPsec sobre o espreitamento privado ExpressRoute.For Virtual WAN scenarios where MACsec isn't an option (for example, not using ExpressRoute Direct), use a Virtual WAN VPN gateway to establish IPsec tunnels over ExpressRoute private peering. O diagrama mostra esta encriptação em C fluxo.The diagram shows this encryption in flow C.

  • Para cenários WAN não virtuais, e onde o MACsec não é uma opção (por exemplo, não utilizar o ExpressRoute Direct), as únicas opções são:For non-Virtual WAN scenarios, and where MACsec isn't an option (for example, not using ExpressRoute Direct), the only options are:

    • Use nVAs parceiros para estabelecer túneis IPsec sobre o olho privado ExpressRoute.Use partner NVAs to establish IPsec tunnels over ExpressRoute private peering.
    • Estabeleça um túnel VPN sobre o ExpressRoute com a Microsoft a espreitar.Establish a VPN tunnel over ExpressRoute with Microsoft peering.
    • Avalie a capacidade de configurar uma ligação VPN site-to-site sobre o espremiamento privado ExpressRoute(na pré-visualização.Evaluate the capability to configure a Site-to-Site VPN connection over ExpressRoute private peering (in preview.
  • Se o tráfego entre as regiões de Azure tiver de ser encriptado, utilize o vNet global para ligar redes virtuais entre regiões.If traffic between Azure regions must be encrypted, use global VNet peering to connect virtual networks across regions.

  • Se as soluções nativas do Azure (como mostrado nos fluxos B e C no diagrama) não cumprirem os seus requisitos, utilize os NVAs parceiros em Azure para encriptar o tráfego sobre o olho privado ExpressRoute.If native Azure solutions (as shown in flows B and C in the diagram) don't meet your requirements, use partner NVAs in Azure to encrypt traffic over ExpressRoute private peering.