Definiera krav för nätverkskryptering
I det här avsnittet beskrivs viktiga rekommendationer för att uppnå nätverkskryptering mellan lokalt och Azure samt mellan Azure-regioner.
Designöverväganden:
Kostnad och tillgänglig bandbredd är omvänt proportionella mot längden på krypteringstunneln mellan slutpunkterna.
När du använder ett VPN för att ansluta till Azure krypteras trafiken via Internet via IPsec-tunnlar.
När du använder ExpressRoute med privat peering krypteras inte trafiken för närvarande.
Det går att konfigurera en plats-till-plats-VPN-anslutning över privat ExpressRoute-peering.
Du kan använda MACsec-kryptering (Media Access Control Security) för ExpressRoute Direct för att uppnå nätverkskryptering.
När Azure-trafik flyttas mellan datacenter (utanför fysiska gränser som inte styrs av Microsoft eller för Microsofts räkning) används MACsec-datalänklagerkryptering på den underliggande nätverksmaskinvaran. Detta gäller för VNet-peeringtrafik.
Designrekommendationer:
Bild 1: Krypteringsflöden.
När du upprättar VPN-anslutningar från lokal plats till Azure med hjälp av VPN-gatewayer krypteras trafiken på protokollnivå via IPsec-tunnlar. Föregående diagram visar den här krypteringen i flödet
A
.När du använder ExpressRoute Direct konfigurerar du MACsec för att kryptera trafik på Layer 2 mellan organisationens routrar och MSEE. Diagrammet visar den här krypteringen i flödet
B
.För Virtual WAN scenarier där MACsec inte är ett alternativ (till exempel om du inte använder ExpressRoute Direct) använder du en Virtual WAN VPN Gateway för att upprätta IPsec-tunnlar via privat ExpressRoute-peering. Diagrammet visar den här krypteringen i flödet
C
.För icke-Virtual WAN scenarier och där MACsec inte är ett alternativ (till exempel om du inte använder ExpressRoute Direct) är de enda alternativen:
- Använd partner-NVA:er för att upprätta IPsec-tunnlar över privat ExpressRoute-peering.
- Upprätta en VPN-tunnel över ExpressRoute med Microsoft-peering.
- Utvärdera funktionen för att konfigurera en plats-till-plats-VPN-anslutning över privat ExpressRoute-peering.
Om interna Azure-lösningar (som visas i flöden
B
ochC
i diagrammet) inte uppfyller dina krav använder du partner-NVA:er i Azure för att kryptera trafik över privat ExpressRoute-peering.