Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Abschnitt werden wichtige Empfehlungen zum Einrichten der Netzwerkverschlüsselung zwischen der lokalen Umgebung und Azure sowie über Azure-Regionen hinweg behandelt.
Überlegungen zum Entwurf
Kosten und verfügbare Bandbreite sind umgekehrt proportional zur Länge des Verschlüsselungstunnels zwischen Endpunkten.
Die Azure Virtual Network-Verschlüsselung verbessert vorhandene Funktionen zur Verschlüsselung bei der Übertragung in Azure und ermöglicht eine nahtlose Datenverkehrsverschlüsselung und -entschlüsselung zwischen VMs und VM-Skalierungsgruppen.
Wenn Sie eine VPN-Verbindung mit Azure herstellen, wird der Datenverkehr über das Internet via IPsec-Tunnel verschlüsselt.
Bei Verwendung von Azure ExpressRoute mit privatem Peering wird Datenverkehr derzeit nicht verschlüsselt.
Man kann eine Site-to-Site-VPN-Verbindung über Private ExpressRoute-Peering konfigurieren.
Sie können Medienzugriffskontrollsicherheit (MACsec) auf ExpressRoute Direct anwenden, um Netzwerkverschlüsselung zu erreichen.
Wenn Azure-Datenverkehr zwischen Rechenzentren (außerhalb physischer Grenzen, die nicht von Microsoft oder im Auftrag von Microsoft kontrolliert werden) fließt, wird auf der zugrunde liegenden Netzwerkhardware die MACsec-Datenverbindungsschicht-Verschlüsselung verwendet. Dies gilt für den Datenverkehr zwischen durch Peering verknüpften virtuellen Netzwerken.
Entwurfsempfehlungen
Diagramm mit den Datenflüssen bei der Verschlüsselung
Abbildung 1: Verschlüsselungsabläufe.
Beim Einrichten von VPN-Verbindungen von einer lokalen Umgebung über VPN-Gateways mit Azure wird Datenverkehr auf einer Protokollebene durch IPsec-Tunnel verschlüsselt. Dies wird im obigen Diagramm in Datenfluss
Averanschaulicht.Wenn Sie Datenverkehr zwischen VMs im selben virtuellen Netzwerk oder in regionalen oder globalen virtuellen Peernetzwerken verschlüsseln müssen, verwenden Sie die VNet-Verschlüsselung.
Konfigurieren Sie MACsec bei der Verwendung von ExpressRoute Direct, um den Datenverkehr auf Schicht 2 zwischen den Routern Ihrer Organisation und MSEE zu verschlüsseln. Das Diagramm zeigt diese Verschlüsselung im Datenfluss
B.In Szenarien, bei denen Virtual WAN verwendet wird und MACsec keine Option darstellt (z. B. wenn kein ExpressRoute Direct verwendet wird), verwenden Sie ein Virtual WAN-VPN-Gateway, um IPsec-Tunnel über privates ExpressRoute-Peering einzurichten. Das Diagramm zeigt diese Verschlüsselung im Fluss
C.Bei Szenarios ohne Virtual WAN, in denen MACsec keine Option ist (z. B. keine Verwendung von ExpressRoute Direct), gibt es nur die folgenden Optionen:
- Verwenden Sie Partner-NVAs, um IPsec-Tunnel über das private ExpressRoute-Peering einzurichten.
- Richten Sie mit Microsoft-Peering einen VPN-Tunnel über ExpressRoute ein.
- Überprüfen Sie die Funktion zum Konfigurieren einer Site-to-Site-VPN-Verbindung über privates ExpressRoute-Peering.
Wenn native Azure-Lösungen (wie in den Flows
BundCim Diagramm dargestellt) Ihre Anforderungen nicht erfüllen, verwenden Sie NVAs von Partnern in Azure, um den Datenverkehr über das private Peering von ExpressRoute zu verschlüsseln.