Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Globální zabezpečený přístup podporuje dvě možnosti připojení: instalaci klienta na zařízení koncového uživatele a konfiguraci vzdálené sítě, například umístění větve s fyzickým směrovačem. Vzdálené síťové připojení zjednodušuje způsob, jakým se koncoví uživatelé a hosté připojují ze vzdálené sítě, aniž by museli instalovat globálního klienta zabezpečeného přístupu.
Tento článek popisuje klíčové koncepty vzdáleného síťového připojení spolu s běžnými scénáři, ve kterých je užitečné.
Co je vzdálená síť?
Vzdálené sítě jsou vzdálená umístění nebo sítě, které vyžadují připojení k internetu. Mnoho organizací má například centrální ústředí a pobočky v různých geografických oblastech. Tyto pobočky potřebují přístup k podnikovým datům a službám. Potřebují bezpečný způsob, jak komunikovat s datovým centrem, ústředím a vzdálenými pracovníky. Zabezpečení vzdálených sítí je zásadní pro mnoho typů organizací.
Vzdálené sítě, jako je například pobočka, jsou obvykle k podnikové síti připojeny prostřednictvím vyhrazené sítě WAN (Wide Area Network) nebo připojení VPN (Virtual Private Network). Zaměstnanci v pobočce se připojují k síti pomocí místního vybavení zákazníka (CPE).
Aktuální výzvy zabezpečení vzdálené sítě
Požadavky na šířku pásma se zvýšily – počet zařízení vyžadujících přístup k internetu se exponenciálně zvyšuje. Tradiční sítě se obtížně škálují. S nástupem aplikací typu Software jako služba (SaaS), jako je Microsoft 365, stále roste poptávka po nízké latenci a zpoždění bez kolísání, s čímž se potýkají tradiční technologie, jako jsou širokopásmové sítě (Wide Area Network, WAN) a víceprotokolové označování (Multi-Protocol Label Switching, MPLS).
IT týmy jsou drahé – Firewally jsou obvykle umístěny na fyzických zařízeních na místě, což vyžaduje IT tým pro jejich instalaci a údržbu. Údržba IT týmu v každém umístění pobočky je nákladná.
Vyvíjející se hrozby – Aktéři se zlými úmysly hledají nové cesty k útoku na zařízení na hraničních sítích. Okrajová zařízení ve firemních pobočkách nebo dokonce domácích kancelářích jsou často nejzranitelnějším místem útoku.
Návod
Pokyny k posílení odolnosti vzdálených sítí najdete v tématu Osvědčené postupy pro odolnost vzdálených sítí s globálním zabezpečeným přístupem.
Jak funguje připojení ke vzdálené síti globálního zabezpečeného přístupu?
Pokud chcete připojit vzdálenou síť ke globálnímu zabezpečenému přístupu, nastavíte tunel IPSec (Internet Protocol Security) mezi místním zařízením a koncovým bodem globálního zabezpečeného přístupu. Zadaný provoz se směruje přes tunel IPSec do nejbližšího koncového bodu globálního zabezpečeného přístupu. Zásady zabezpečení můžete použít v Centru pro správu Microsoft Entra.
Připojení ke vzdálené síti globálního zabezpečeného přístupu poskytuje zabezpečené řešení mezi vzdálenou sítí a službou Globální zabezpečený přístup. Neposkytuje zabezpečené připojení mezi jednou vzdálenou sítí a druhou. Další informace o zabezpečení vzdáleného síťového připojení ke vzdálené síti najdete v dokumentaci ke službě Azure Virtual WAN.
Proč je pro vás vzdálené připojení k síti důležité?
Udržování zabezpečení podnikové sítě je stále obtížnější ve světě práce na dálku a distribuovaných týmů. Security Service Edge (SSE) slibuje zabezpečený svět, ve kterém mají zákazníci přístup ke svým zdrojům v podniku odkudkoli na světě, aniž by museli přenášet provoz do ústředí.
Běžné scénáře vzdáleného připojení k síti
Nechci instalovat klienty na tisíce zařízení místně.
Obecně platí, že SSE se vynucuje instalací klienta na zařízení. Klient vytvoří tunel k nejbližšímu koncovému bodu SSE a přes něj směruje veškerý internetový provoz. Řešení SSE kontrolují provoz a vynucují zásady zabezpečení. Pokud vaši uživatelé nejsou mobilní a nacházejí se ve fyzické pobočce, vzdálené síťové připojení pro tuto pobočku odstraní potíže s instalací klienta na každé zařízení. Celou pobočku můžete propojit vytvořením tunelu IPSec mezi hlavním směrovačem pobočky a koncovým bodem Global Secure Access.
Nemůžu nainstalovat klienty na všechna zařízení, která moje organizace vlastní.
Někdy se klienti nedají nainstalovat na všechna zařízení. Globální zabezpečený přístup v současné době poskytuje klientské aplikace pro Windows. Ale co Linux, sálové počítače, kamery, tiskárny a další typy zařízení, která jsou místně a odesílají provoz na internet? Tento provoz je stále potřeba monitorovat a zabezpečit. Když připojíte vzdálenou síť, můžete nastavit zásady pro veškerý provoz z tohoto umístění bez ohledu na zařízení, odkud pochází.
Mám hosty v síti, kteří nemají nainstalovaného klienta.
Hostovaná zařízení ve vaší síti nemusí mít nainstalovaného klienta. Pokud chcete zajistit, aby tato zařízení dodržovala vaše zásady zabezpečení sítě, potřebujete jejich provoz směrovaný přes globální koncový bod zabezpečeného přístupu. Tento problém řeší vzdálené připojení k síti. Na zařízeních hostů není potřeba instalovat žádné klienty. Veškerý odchozí provoz ze vzdálené sítě ve výchozím nastavení prochází vyhodnocením zabezpečení.
Kolik šířky pásma se přidělí na tenanta
Celková šířka pásma, kterou jste přidělovali, je určena počtem zakoupených licencí. Každá licence Microsoft Entra ID P1, licence Microsoft Entra Internet Access nebo licence Microsoft Entra Suite přispívá k celkové šířce pásma. Šířku pásma vzdálených sítí je možné přiřadit tunelům IPsec v přírůstcích po 250 Mb/s, 500 Mb/s, 750 Mb/s nebo 1 000 Mb/s. Tato flexibilita umožňuje přidělit šířku pásma různým vzdáleným síťovým umístěním podle vašich konkrétních potřeb. Pro zajištění optimálního výkonu microsoft doporučuje nakonfigurovat alespoň dva tunely IPsec pro každé umístění pro zajištění vysoké dostupnosti. Následující tabulka podrobně popisuje celkovou šířku pásma na základě počtu zakoupených licencí.
Počáteční přidělení šířky pásma
| Počet licencí | Celková šířka pásma (Mb/s) |
|---|---|
| 50 – 99 | 500 Mb/s |
| 100 – 499 | 1 000 Mb/s |
| 500 – 999 | 2 000 Mb/s |
| 1,000 – 1,499 | 3 500 Mb/s |
| 1,500 – 1,999 | 4 000 Mb/s |
| 2,000 – 2,499 | 4 500 Mb/s |
| 2,500 – 2,999 | 5 000 Mb/s |
| 3,000 – 3,499 | 5 500 Mb/s |
| 3,500 – 3,999 | 6 000 Mb/s |
| 4,000 – 4,499 | 6 500 Mb/s |
| 4,500 – 4,999 | 7 000 Mb/s |
| 5,000 – 5,499 | 10 000 Mb/s |
| 5,500 – 5,999 | 10 500 Mb/s |
| 6,000 – 6,499 | 11 000 Mb/s |
| 6,500 – 6,999 | 11 500 Mb/s |
| 7,000 – 7,499 | 12 000 Mb/s |
| 7,500 – 7,999 | 12 500 Mb/s |
| 8,000 – 8,499 | 13 000 Mb/s |
| 8,500 – 8,999 | 13 500 Mb/s |
| 9,000 – 9,499 | 14 000 Mb/s |
| 9,500 – 9,999 | 14 500 Mb/s |
| 10 000 + | 35 000 Mb/s + |
poznámky k tabulce
- Minimální počet licencí pro použití funkce vzdáleného připojení k síti je 50.
- Počet licencí se rovná celkovému počtu zakoupených licencí (Entra ID P1 + Entra Internet Access /Entra Suite). Po 10 000 licencích získáte dalších 500 Mb/s pro každých 500 zakoupených licencí (například 11 000 licencí = 36 000 Mb/s).
- Organizace, které překračují značku 10 000 licencí, často pracují v podnikovém měřítku a vyžadují robustnější infrastrukturu. Přechod na 35 000 Mb/s zajišťuje větší kapacitu pro splnění požadavků těchto nasazení, podporu vyšších objemů provozu a zajištění flexibility pro rozšíření přidělení šířky pásma podle potřeby.
- Pokud se vyžaduje větší šířka pásma, je k dispozici další šířka pásma k nákupu v přírůstcích po 500 Mb/s prostřednictvím skladové položky SKU Pro šířku pásma vzdálené sítě.
Příklady přidělené šířky pásma na tenanta:
Tenant 1:
- 1 000 licencí Entra ID P1
- Přiděleno: 1 000 licencí, 3 500 Mb/s
Tenant 2:
- 3 000 licencí Entra ID P1
- 3 000 licencí pro Internet Access
- Přiděleno: 6 000 licencí, 11 000 Mb/s
Tenant 3:
- 8 000 licencí Entra ID P1
- 6 000 licencí Entra Suite
- Přiděleno: 14 000 licencí, 39 000 Mb/s
Příklady distribuce šířky pásma pro vzdálené sítě
Tenant 1:
Celková šířka pásma: 3 500 Mb/s
Příděl:
- Lokalita A: 2 tunely IPsec: 2 x 250 Mbps = 500 Mbps
- Lokalita B: 2 tunely IPsec: 2 x 250 Mbps = 500 Mbps
- Lokalita C: 2 IPsec tunely: 2 x 500 Mbps = 1 000 Mbps
- Stránka D: 2 tunely IPsec: 2 x 750 Mbps = 1 500 Mbps
Zbývající šířka pásma: Žádná
Tenant 2:
Celková šířka pásma: 11 000 Mb/s
Příděl:
- Lokalita A: 2 tunely IPsec: 2 x 250 Mbps = 500 Mbps
- Lokalita B: 2 IPsec tunely: 2 x 500 Mbps = 1 000 Mbps
- Lokalita C: 2 tunely IPsec: 2 x 750 Mbps = 1 500 Mbps
- Site D: 2 IPsec tunely: 2 × 1 000 Mbps = 2 000 Mbps
- Lokalita E: 2 tunely IPsec: 2 x 1 000 Mb/s = 2 000 Mb/s
Zbývající šířka pásma: 4 000 Mb/s
Tenant 3:
Celková šířka pásma: 39 000 Mb/s
Příděl:
- Lokalita A: 2 tunely IPsec: 2 x 250 Mbps = 500 Mbps
- Lokalita B: 2 IPsec tunely: 2 x 500 Mbps = 1 000 Mbps
- Lokalita C: 2 tunely IPsec: 2 x 750 Mbps = 1 500 Mbps
- Stránka D: 2 tunely IPsec: 2 x 750 Mbps = 1 500 Mbps
- Lokalita E: 2 tunely IPsec: 2 x 1 000 Mb/s = 2 000 Mb/s
- Lokalita F: 2 tunely IPsec: 2 x 1 000 Mbps = 2 000 Mbps
- Site G: 2 tunely IPsec: 2 x 1 000 Mb/s = 2 000 Mb/s
Zbývající šířka pásma: 28 500 Mb/s