Freigeben über


Grundlegendes zur Remotenetzwerkkonnektivität

Globaler sicherer Zugriff unterstützt zwei Konnektivitätsoptionen: Die Installation eines Clients auf einem Endbenutzergerät und das Konfigurieren eines Remotenetzwerks, z. B. eines Zweigstellenstandorts mit einem physischen Router. Die Remotenetzwerkkonnektivität optimiert, wie Ihre Endbenutzer und Gäste eine Verbindung von einem Remotenetzwerk aus herstellen, ohne den Global Secure Access-Client installieren zu müssen.

In diesem Artikel werden die wichtigsten Konzepte der Remotenetzwerkkonnektivität zusammen mit gängigen Szenarien beschrieben, in denen sie nützlich sein kann.

Was ist ein Remotenetzwerk?

Remotenetzwerke sind Remotestandorte oder Netzwerke, die eine Internetverbindung erfordern. Beispielsweise verfügen viele Organisationen über einen Hauptsitz und Zweigstellenstandorte in verschiedenen geografischen Gebieten. Diese Zweigstellen benötigen Zugriff auf Unternehmensdaten und -dienste. Sie benötigen eine sichere Möglichkeit zur Kommunikation mit dem Rechenzentrum, dem Hauptsitz und den Remotemitarbeitern. Die Sicherheit von Remotenetzwerken ist für viele Arten von Organisationen von entscheidender Bedeutung.

Remotenetzwerke, z. B. ein Zweigstellenstandort, sind mit dem Unternehmensnetzwerk in der Regel über ein dediziertes WAN (Wide Area Network) oder eine VPN-Verbindung (Virtual Private Network) verbunden. Mitarbeiter am Zweigstellenstandort stellen mithilfe von CPE (Customer Premises Equipment) eine Verbindung mit dem Netzwerk her.

Aktuelle Herausforderungen für die Sicherheit von Remotenetzwerken

Bandbreitenanforderungen sind gestiegen – Die Anzahl der Geräte, die Internetzugriff benötigen, ist exponentiell gestiegen. Herkömmliche Netzwerke lassen sich nur schwer skalieren. Mit dem Aufkommen von Software-as-a-Service-Anwendungen (SaaS) wie Microsoft 365 gibt es ständig wachsende Anforderungen an eine niedrige Latenz und schwankungsfreie Kommunikation, mit der herkömmliche Technologien wie Wide Area Network (WAN) und Multi-Protocol Label Switching (MPLS) zu kämpfen haben.

IT-Teams sind teuer – In der Regel werden Firewalls lokal auf physischen Geräten platziert, wodurch ein IT-Team für Einrichtung und Wartung erforderlich wird. Ein IT-Team an jedem Zweigstellenstandort zu unterhalten ist teuer.

Sich entwickelnde Bedrohungen – Böswillige Akteure finden neue Möglichkeiten für Angriffe auf Geräte am Netzwerkedge. Edgegeräte in Zweigstellen oder sogar Home Office-Standorte sind oft die anfälligsten Angriffspunkte.

Wie funktioniert die Remotenetzwerkkonnektivität von Global Secure Access?

Um ein Remotenetzwerk mit Global Secure Access zu verbinden, richten Sie einen IPSec-Tunnel (Internet Protocol Security) zwischen Ihren lokalen Geräten und dem Global Secure Access-Endpunkt ein. Der von Ihnen angegebene Datenverkehr wird über den IPSec-Tunnel an den nächstgelegenen Global Secure Access-Endpunkt geroutet. Sie können Sicherheitsrichtlinien im Microsoft Entra Admin Center anwenden.

Die Remotenetzwerkkonnektivität von Global Secure Access bietet eine sichere Lösung zwischen einem Remotenetzwerk und dem Global Secure Access-Dienst. Sie bietet keine sichere Verbindung zwischen einem Remotenetzwerk und einem anderen. Weitere Informationen zur sicheren Remotenetzwerk-zu-Remotenetzwerk-Konnektivität finden Sie in der Dokumentation zu Azure Virtual WAN.

Warum ist die Remotenetzwerkkonnektivität für Sie wichtig?

Das Verwalten der Sicherheit eines Unternehmensnetzwerks wird in einer Welt mit Remotearbeit und verteilten Teams immer schwieriger. Security Service Edge (SSE) verspricht eine sichere Welt, in der Kunden von überall auf der Welt aus auf ihre Unternehmensressourcen zugreifen können, und zwar ohne einen Rücktransport des Datenverkehrs zum Hauptsitz.

Gängige Szenarien für Remotenetzwerkkonnektivität

Ich möchte nicht auf Tausenden von Geräten lokal Clients installieren.

Im Allgemeinen wird SSE erzwungen, indem ein Client auf einem Gerät installiert wird. Der Client erstellt einen Tunnel zum nächstgelegenen SSE-Endpunkt und routet den gesamten Internetdatenverkehr über diesen. SSE-Lösungen überprüfen den Datenverkehr und erzwingen Sicherheitsrichtlinien. Wenn Ihre Benutzer nicht mobil sind und sich an einem physischen Zweigstellenstandort befinden, entfällt durch die Remotenetzwerkkonnektivität für diesen Zweigstellenstandort der Aufwand, auf jedem Gerät einen Client zu installieren. Sie können den gesamten Zweigstellenstandort verbinden, indem Sie einen IPSec-Tunnel zwischen dem Kernrouter der Zweigstelle und dem Global Secure Access-Endpunkt erstellen.

Ich kann nicht auf allen Geräten, die meiner Organisation gehören, Clients installieren.

Manchmal können Clients nicht auf allen Geräten installiert werden. Global Secure Access stellt derzeit Clients für Windows bereit. Aber was ist mit Linux, Mainframes, Kameras, Druckern und anderen lokalen Gerätetypen, die Datenverkehr an das Internet senden? Dieser Datenverkehr muss weiterhin überwacht und geschützt werden. Wenn Sie eine Verbindung zu einem Remotenetzwerk herstellen, können Sie Richtlinien für den gesamten Datenverkehr von diesem Standort aus festlegen, unabhängig von dem Gerät, von dem er ausgeht.

In meinem Netzwerk gibt es Gäste, die den Client nicht installiert haben.

Auf Gastgeräten in Ihrem Netzwerk ist der Client möglicherweise nicht installiert. Um sicherzustellen, dass diese Geräte Ihren Netzwerksicherheitsrichtlinien entsprechen, müssen Sie ihren Datenverkehr über den Global Secure Access-Endpunkt routen. Die Remotenetzwerkkonnektivität löst dieses Problem. Auf Gastgeräten müssen keine Clients installiert werden. Der gesamte ausgehende Datenverkehr aus dem Remotenetzwerk durchläuft standardmäßig die Sicherheitsauswertung.

Nächste Schritte