Definování požadavků na šifrování sítě

  • Článek

Tato část se zabývá klíčovými doporučeními pro zajištění šifrování sítě mezi místním prostředím a Azure a také napříč oblastmi Azure.

Aspekty návrhu:

  • Náklady a dostupná šířka pásma jsou nepřímo úměrné délce šifrovacího tunelu mezi koncovými body.

  • Pokud pro připojení k Azure používáte síť VPN, provoz se šifruje přes internet prostřednictvím tunelů IPsec.

  • Pokud používáte ExpressRoute s privátním peeringem, provoz v současné době není šifrovaný.

  • Je možné nakonfigurovat připojení SITE-to-Site VPN přes privátní partnerský vztah ExpressRoute.

  • Pokud chcete dosáhnout šifrování sítě, můžete použít šifrování MACsec (Media Access Control Security) na ExpressRoute Direct.

  • Když se provoz Azure přesouvá mezi datovými centry (mimo fyzické hranice, které neřídí Microsoft nebo jménem Microsoftu), použije se šifrování vrstvy datového propojení MACsec na podkladovém síťovém hardwaru. To platí pro provoz peeringu virtuálních sítí.

Doporučení návrhu:

Diagram ilustrující toky šifrování

Obrázek 1: Toky šifrování

  • Když vytváříte připojení VPN z místního prostředí do Azure pomocí bran VPN, provoz se šifruje na úrovni protokolu prostřednictvím tunelů IPsec. Předchozí diagram znázorňuje toto šifrování v toku A.

  • Pokud používáte ExpressRoute Direct, nakonfigurujte MACsec , abyste mohli šifrovat provoz ve vrstvě 2 mezi směrovači vaší organizace a MSEE. Diagram znázorňuje toto šifrování v toku B.

  • V Virtual WAN scénářích, kdy MACsec není možnost (například nepoužívá ExpressRoute Direct), použijte k vytvoření tunelových propojení IPsec přes privátní partnerský vztah ExpressRoute Virtual WAN VPN Gateway. Diagram znázorňuje toto šifrování v toku C.

  • Pro scénáře, které nejsou Virtual WAN a kde MACsec není možnost (například nepoužívání ExpressRoute Direct), jsou k dispozici pouze tyto možnosti:

    • Pomocí partnerských síťových virtuálních zařízení navazujte tunely IPsec přes privátní partnerský vztah ExpressRoute.
    • Vytvořte tunel VPN přes ExpressRoute s partnerským vztahem Microsoftu.
    • Vyhodnoťte možnost konfigurace připojení SITE-to-Site VPN přes privátní partnerský vztah ExpressRoute.

  • Pokud nativní řešení Azure (jak je znázorněno v tocích B a C v diagramu) nevyhovují vašim požadavkům, použijte k šifrování provozu přes privátní partnerský partnerský vztah ExpressRoute síťová virtuální zařízení v Azure.