Vysvětlení vzdáleného síťového připojení
Global Secure Access (Preview) podporuje dvě možnosti připojení: instalace klienta na zařízení koncového uživatele a konfigurace vzdálené sítě, například umístění větve s fyzickým směrovačem. Vzdálené síťové připojení zjednodušuje způsob, jakým se koncoví uživatelé a hosté připojují ze vzdálené sítě, aniž by museli instalovat globálního klienta zabezpečeného přístupu.
Tento článek popisuje klíčové koncepty vzdáleného síťového připojení spolu s běžnými scénáři, ve kterých je užitečné.
Co je vzdálená síť?
Vzdálené sítě jsou vzdálená umístění nebo sítě, které vyžadují připojení k internetu. Mnoho organizací má například centrální ústředí a pobočky v různých geografických oblastech. Tyto pobočky potřebují přístup k podnikovým datům a službám. Potřebují bezpečný způsob, jak komunikovat s datovým centrem, ústředím a vzdálenými pracovníky. Zabezpečení vzdálených sítí je zásadní pro mnoho typů organizací.
Vzdálené sítě, jako je například umístění větve, jsou obvykle připojené k podnikové síti prostřednictvím vyhrazené sítě WAN (Wide Area Network) nebo připojení VPN (Virtual Private Network). Zaměstnanci ve větvi se připojují k síti pomocí místního vybavení zákazníka (CPE).
Aktuální výzvy zabezpečení vzdálené sítě
Požadavky na šířku pásma se zvýšily – počet zařízení vyžadujících přístup k internetu se exponenciálně zvyšuje. Tradiční sítě se obtížně škálují. S nástupem aplikací SaaS (Software as a Service), jako je Microsoft 365, stále roste poptávka po nízké latenci a zadržování komunikace, se kterými se potýkají tradiční technologie, jako je WAN (Wide Area Network) a MPLS (Multi-Protocol Label Switching).
IT týmy jsou nákladné – brány firewall jsou obvykle umístěné na místních fyzických zařízeních, což vyžaduje IT tým pro nastavení a údržbu. Údržba IT týmu v každém umístění pobočky je nákladná.
Vyvíjející se hrozby – Aktéři se zlými úmysly hledají nové cesty k útoku na zařízení na hraničních sítích. Hraniční zařízení ve firemních pobočkách nebo dokonce domácí pobočky jsou často nejcitlivějším bodem útoku.
Jak funguje připojení ke vzdálené síti globálního zabezpečeného přístupu?
Pokud chcete připojit vzdálenou síť ke globálnímu zabezpečenému přístupu, nastavíte tunel IPSec (Internet Protocol Security) mezi místním zařízením a koncovým bodem globálního zabezpečeného přístupu. Zadaný provoz se směruje přes tunel IPSec do nejbližšího koncového bodu globálního zabezpečeného přístupu. Zásady zabezpečení můžete použít v Centru pro správu Microsoft Entra.
Připojení ke vzdálené síti globálního zabezpečeného přístupu poskytuje zabezpečené řešení mezi vzdálenou sítí a službou Globální zabezpečený přístup. Neposkytuje zabezpečené připojení mezi jednou vzdálenou sítí a druhou. Další informace o zabezpečení vzdáleného síťového připojení ke vzdálené síti najdete v dokumentaci ke službě Azure Virtual WAN.
Proč je pro vás vzdálené připojení k síti důležité?
Udržování zabezpečení podnikové sítě je stále obtížnější ve světě práce na dálku a distribuovaných týmů. Security Service Edge (SSE) slibuje svět zabezpečení, kde zákazníci mají přístup ke svým podnikovým prostředkům odkudkoli na světě, aniž by museli vracet provoz do ústředí.
Běžné scénáře vzdáleného připojení k síti
Nechci instalovat klienty na tisíce zařízení místně.
Obecně platí, že SSE se vynucuje instalací klienta na zařízení. Klient vytvoří tunel k nejbližšímu koncovému bodu SSE a přes něj směruje veškerý internetový provoz. Řešení SSE kontrolují provoz a vynucují zásady zabezpečení. Pokud vaši uživatelé nejsou mobilní a jsou založeni na fyzickém umístění pobočky, vzdálené síťové připojení pro toto umístění odebere bolest při instalaci klienta na každé zařízení. Celé umístění větve můžete propojit vytvořením tunelu IPSec mezi základním směrovačem pobočky a koncovým bodem globálního zabezpečeného přístupu.
Nemůžu nainstalovat klienty na všechna zařízení, která moje organizace vlastní.
Někdy se klienti nedají nainstalovat na všechna zařízení. Globální zabezpečený přístup v současné době poskytuje klientům pro Windows. Ale co Linux, sálové počítače, kamery, tiskárny a další typy zařízení, která jsou místně a odesílají provoz na internet? Tento provoz je stále potřeba monitorovat a zabezpečit. Když připojíte vzdálenou síť, můžete nastavit zásady pro veškerý provoz z tohoto umístění bez ohledu na zařízení, odkud pochází.
Mám hosty v síti, kteří nemají nainstalovaného klienta.
Hostovaná zařízení ve vaší síti nemusí mít nainstalovaného klienta. Pokud chcete zajistit, aby tato zařízení dodržovala vaše zásady zabezpečení sítě, potřebujete jejich provoz směrovaný přes globální koncový bod zabezpečeného přístupu. Tento problém řeší vzdálené připojení k síti. Na zařízeních hostů není potřeba instalovat žádné klienty. Veškerý odchozí provoz ze vzdálené sítě ve výchozím nastavení prochází vyhodnocením zabezpečení.
Podmínky užívání
Vaše používání prostředí a funkcí ve verzi Preview Microsoft Entra Soukromý přístup a Microsoft Entra Přístup k Internetu se řídí podmínkami a ujednáními online služeb ve verzi Preview, za kterých jste tyto služby získali. Verze Preview můžou podléhat omezením nebo jiným závazkům v oblasti zabezpečení, dodržování předpisů a ochrany osobních údajů, jak je dále vysvětleno v univerzálních licenčních podmínkách pro online služby a dodatcích k ochraně dat produktů a služeb Společnosti Microsoft (DÁLE jen "DPA") a veškerých dalších oznámení uvedených ve verzi Preview.