Bagikan melalui

Menentukan persyaratan enkripsi jaringan

  • Artikel

Bagian ini mengeksplorasi rekomendasi kunci untuk mencapai enkripsi jaringan antara lokal dan Azure serta di seluruh wilayah Azure.

Pertimbangan desain:

  • Biaya dan bandwidth yang tersedia berbanding terbalik dengan panjang terowongan enkripsi antara titik akhir.

  • Saat Anda menggunakan VPN untuk terhubung ke Azure, lalu lintas dienkripsi melalui internet melalui terowongan IPsec.

  • Saat Anda menggunakan ExpressRoute dengan peering privat, lalu lintas saat ini tidak dienkripsi.

  • Mengonfigurasikan koneksi VPN Situs-ke-Situs melalui peering privat ExpressRoute.

  • Anda dapat menerapkan enkripsi keamanan kontrol akses media (MACsec) ke ExpressRoute Direct untuk mencapai enkripsi jaringan.

  • Saat lalu lintas Azure berpindah di antara pusat data (di luar batas fisik yang tidak dikontrol oleh Microsoft atau atas nama Microsoft), enkripsi lapisan tautan data MACsec digunakan pada perangkat keras jaringan yang mendasarinya. Ini berlaku untuk lalu lintas peering VNet.

Rekomendasi desain:

Diagram yang mengilustrasikan alur enkripsi.

Gambar 1: Alur enkripsi.

  • Saat Anda membuat koneksi VPN dari lokal ke Azure dengan menggunakan gateway VPN, lalu lintas dienkripsi pada tingkat protokol melalui terowongan IPsec. Diagram sebelumnya menunjukkan enkripsi ini dalam alur A.

  • Saat Anda menggunakan ExpressRoute Direct, konfigurasikan MACsec untuk mengenkripsi lalu lintas di Layer 2 antara router organisasi Anda dan MSEE. Diagram sebelumnya menunjukkan enkripsi ini dalam alur B.

  • Untuk skenario Virtual WAN di mana MACsec bukan pilihan (misalnya, tidak menggunakan ExpressRoute Direct), gunakan Virtual WAN VPN Gateway untuk membuat terowongan IPsec melalui peering privat ExpressRoute. Diagram sebelumnya menunjukkan enkripsi ini dalam alur C.

  • Untuk skenario non-Virtual WAN, dan di mana MACsec bukan pilihan (misalnya, tidak menggunakan ExpressRoute Direct), satu-satunya opsi adalah:

    • Gunakan NVAs mitra untuk membuat terowongan IPsec melalui peering privat ExpressRoute.
    • Buat terowongan VPN di atas ExpressRoute dengan peering Microsoft.
    • Evaluasi kemampuan untuk mengonfigurasi koneksi VPN Situs-ke-Situs melalui peering privat ExpressRoute.

  • Jika solusi Azure asli (seperti yang ditunjukkan dalam alur B dan C pada diagram) tidak memenuhi persyaratan Anda, gunakan NVAs mitra di Azure untuk mengenkripsi lalu lintas melalui peering privat ExpressRoute.