Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Ikhtisar
Akses Aman Global mendukung dua opsi konektivitas: menginstal klien pada perangkat pengguna akhir dan mengonfigurasi jaringan jarak jauh, seperti lokasi cabang dengan router fisik. Konektivitas jaringan jarak jauh menyederhanakan cara pengguna akhir dan tamu Anda terhubung dari jaringan jarak jauh tanpa perlu menginstal Klien Akses Aman Global.
Artikel ini menjelaskan konsep utama konektivitas jaringan jarak jauh bersama dengan skenario umum di mana konektivitas tersebut berguna.
Apa itu jaringan jarak jauh?
Jaringan jarak jauh adalah lokasi atau jaringan jarak jauh yang memerlukan konektivitas internet. Misalnya, banyak organisasi memiliki kantor pusat dan lokasi kantor cabang di area geografis yang berbeda. Kantor cabang ini membutuhkan akses ke data dan layanan perusahaan. Mereka membutuhkan cara yang aman untuk berkomunikasi dengan pusat data, kantor pusat, dan pekerja jarak jauh. Keamanan jaringan jarak jauh sangat penting untuk banyak jenis organisasi.
Biasanya, Anda menghubungkan jaringan jarak jauh, seperti lokasi cabang, ke jaringan perusahaan melalui jaringan Wide Area Network (WAN) khusus atau koneksi Virtual Private Network (VPN). Karyawan di lokasi cabang terhubung ke jaringan dengan menggunakan peralatan lokal pelanggan (CPE).
Tantangan keamanan jaringan jarak jauh saat ini
Persyaratan bandwidth telah berkembang - Jumlah perangkat yang membutuhkan akses internet meningkat secara eksponensial. Jaringan tradisional sulit diskalakan. Dengan munculnya aplikasi Software as a Service (SaaS) seperti Microsoft 365, ada tuntutan yang terus berkembang untuk latensi rendah dan komunikasi bebas jitter, yang menjadi tantangan bagi teknologi tradisional seperti Wide Area Network (WAN) dan Multi-Protocol Label Switching (MPLS).
Tim IT mahal - Biasanya, Anda menempatkan firewall di perangkat fisik lokal, yang memerlukan tim TI untuk penyiapan dan pemeliharaan. Mempertahankan tim IT di setiap lokasi cabang mahal.
Ancaman yang berkembang – Aktor jahat terus menemukan jalan baru untuk menyerang perangkat di tepi jaringan. Perangkat Edge di kantor cabang atau bahkan kantor pusat sering menjadi titik serangan yang paling rentan.
Petunjuk / Saran
Untuk panduan tentang meningkatkan ketahanan jaringan jarak jauh, lihat Praktik terbaik untuk ketahanan jaringan jarak jauh Akses Aman Global.
Bagaimana cara kerja konektivitas jaringan jarak jauh Akses Aman Global?
Untuk menyambungkan jaringan jarak jauh ke Akses Aman Global, siapkan terowongan Keamanan Protokol Internet (IPsec) antara peralatan lokal Anda dan titik akhir Akses Aman Global. Rutekan lalu lintas yang Anda tentukan melalui terowongan IPsec ke titik akhir Akses Aman Global terdekat. Anda dapat menerapkan kebijakan keamanan di pusat admin Microsoft Entra.
Konektivitas jaringan jarak jauh Akses Aman Global menyediakan solusi yang aman antara jaringan jarak jauh dan layanan Akses Aman Global. Ini tidak menyediakan koneksi aman antara satu jaringan jarak jauh dan jaringan jarak jauh lainnya. Untuk informasi selengkapnya tentang konektivitas jaringan jarak jauh ke jarak jauh yang aman, lihat dokumentasi Azure Virtual WAN.
Profil penerusan lalu lintas yang didukung
Jaringan jarak jauh mendukung profil penerusan lalu lintas yang berbeda untuk memperoleh lalu lintas. Profil penerusan lalu lintas mengontrol lalu lintas mana yang dirutekan melalui Akses Aman Global. Profil keamanan, seperti profil garis besar, mengontrol kebijakan apa yang diterapkan pada lalu lintas yang diperoleh tersebut.
| Profil penerusan lalu lintas | Klien Akses Aman Global | Jaringan jarak jauh |
|---|---|---|
| lalu lintas Microsoft | ✅ Didukung | ✅ Didukung |
| Akses Internet | ✅ Didukung | ✅ Didukung |
| Akses Privat | ✅ Didukung | ❌ Tidak didukung |
Penting
Anda dapat menetapkan profil penerusan lalu lintas Microsoft dan Akses Internet ke jaringan jarak jauh. Profil penerusan lalu lintas Akses Privat memerlukan klien Akses Aman Global yang diinstal pada perangkat pengguna akhir. Untuk informasi selengkapnya, lihat Menetapkan profil lalu lintas ke jaringan jarak jauh dan Memahami profil penerusan lalu lintas.
Setelah Anda memperoleh trafik melalui profil penerusan, terapkanlah kebijakan keamanan dengan menggunakan profil keamanan. Profil keamanan dasar memberlakukan kebijakan di tingkat penyewa untuk semua lalu lintas yang dirutekan melalui Akses Aman Global, termasuk lalu lintas jaringan jarak jauh. Profil keamanan sadar pengguna yang ditautkan ke kebijakan Akses Bersyarat memerlukan klien Akses Aman Global.
Penegakan profil lalu lintas pada tautan perangkat jaringan jarak jauh
Akses Aman Global memberlakukan profil penerusan lalu lintas untuk semua tautan perangkat, seperti terowongan IPsec, yang terkait dengan jaringan jarak jauh. Ini hanya meneruskan jenis lalu lintas yang cocok dengan profil penerusan lalu lintas yang diaktifkan dan terkait. Gateway Akses Aman Global menghilangkan semua lalu lintas lainnya.
Penegakan ini berarti:
- Jika Anda hanya mengaitkan profil lalu lintas Microsoft dengan jaringan jarak jauh, gateway Akses Aman Global menghilangkan lalu lintas yang tidak Microsoft (seperti lalu lintas internet umum) yang dikirim melalui tautan perangkat.
- Jika Anda hanya mengaitkan profil lalu lintas Internet Access dengan jaringan jarak jauh, gateway Akses Aman Global akan menghilangkan lalu lintas Microsoft yang dikirim melalui tautan perangkat.
Penting
Untuk menghindari kehilangan lalu lintas yang tidak diinginkan, kaitkan both profil lalu lintas Microsoft dan profil lalu lintas Internet Access dengan jaringan jarak jauh Anda jika lisensi Anda mengizinkan. Konfigurasi ini memastikan bahwa profil yang sesuai menangani semua lalu lintas yang diteruskan melalui terowongan IPsec daripada menjatuhkannya secara diam-diam di gateway.
Untuk detail tentang profil penerusan lalu lintas yang tersedia dan konfigurasinya, lihat Profil penerusan lalu lintas Akses Aman Global.
Mengapa konektivitas jaringan jarak jauh penting bagi Anda?
Menjaga keamanan jaringan perusahaan semakin sulit dalam dunia kerja jarak jauh dan tim terdistribusi. Security Service Edge (SSE) menjanjikan dunia keamanan di mana pelanggan dapat mengakses sumber daya perusahaan mereka dari mana saja di dunia tanpa perlu mengembalikan lalu lintas mereka ke kantor pusat.
Skenario konektivitas jaringan jarak jauh umum
Saya tidak ingin menginstal klien di ribuan perangkat lokal.
Umumnya, Anda memberlakukan SSE dengan menginstal klien pada perangkat. Klien membuat terowongan ke titik akhir SSE terdekat dan merutekan semua lalu lintas internet melaluinya. Solusi SSE memeriksa lalu lintas dan menerapkan kebijakan keamanan. Jika pengguna Anda tidak bergerak dan berbasis di lokasi cabang fisik, konektivitas jaringan jarak jauh untuk lokasi cabang tersebut menghilangkan rasa sakit saat menginstal klien di setiap perangkat. Anda dapat menghubungkan seluruh lokasi cabang dengan membuat terowongan IPSec antara router inti kantor cabang dan titik akhir Akses Aman Global.
Saya tidak dapat menginstal klien di semua perangkat yang dimiliki organisasi saya.
Terkadang, Anda tidak dapat menginstal klien di semua perangkat. Akses Aman Global saat ini menyediakan klien untuk Windows, macOS, Android, dan iOS. Tetapi bagaimana dengan Linux, mainframe, kamera, printer, dan jenis perangkat lain yang lokal dan mengirim lalu lintas ke internet? Anda masih perlu memantau dan mengamankan lalu lintas ini. Saat menyambungkan jaringan jarak jauh, Anda dapat mengatur kebijakan untuk semua lalu lintas dari lokasi tersebut terlepas dari perangkat asalnya.
Saya memiliki tamu di jaringan saya yang tidak menginstal klien.
Perangkat tamu pada jaringan Anda mungkin tidak menginstal klien. Untuk memastikan bahwa perangkat tersebut mematuhi kebijakan keamanan jaringan Anda, Anda memerlukan lalu lintas mereka dirutekan melalui titik akhir Akses Aman Global. Konektivitas jaringan jarak jauh menyelesaikan masalah ini. Anda tidak perlu menginstal klien di perangkat tamu. Semua lalu lintas keluar dari jaringan jarak jauh melalui evaluasi keamanan secara default.
Apa alokasi bandwidth untuk setiap penyewa?
Jumlah lisensi yang Anda beli menentukan total alokasi bandwidth Anda. Setiap lisensi Microsoft Entra ID P1, lisensi Akses Internet Microsoft Entra, dan lisensi Microsoft Entra Suite ditambahkan ke total bandwidth Anda. Anda dapat menetapkan bandwidth untuk jaringan jarak jauh ke terowongan IPsec dengan kenaikan 250 Mbps, 500 Mbps, 750 Mbps, atau 1.000 Mbps. Fleksibilitas ini berarti Anda dapat mengalokasikan bandwidth ke lokasi jaringan jarak jauh yang berbeda berdasarkan kebutuhan spesifik Anda. Untuk performa terbaik, Microsoft merekomendasikan untuk mengonfigurasi setidaknya dua terowongan IPsec per lokasi untuk ketersediaan tinggi. Tabel berikut ini memperlihatkan total bandwidth berdasarkan jumlah lisensi yang Anda beli.
Alokasi bandwidth awal
| Jumlah lisensi | Total Bandwidth (Mbps) |
|---|---|
| 50 – 99 | 500 Mbps |
| 100 – 499 | 1.000 Mbps |
| 500 – 999 | 2.000 Mbps |
| 1,000 – 1,499 | 3.500 Mbps |
| 1,500 – 1,999 | 4.000 Mbps |
| 2,000 – 2,499 | 4.500 Mbps |
| 2,500 – 2,999 | 5.000 Mbps |
| 3,000 – 3,499 | 5.500 Mbps |
| 3,500 – 3,999 | 6.000 Mbps |
| 4,000 – 4,499 | 6.500 Mbps |
| 4,500 – 4,999 | 7.000 Mbps |
| 5,000 – 5,499 | 10.000 Mbps |
| 5,500 – 5,999 | 10.500 Mbps |
| 6,000 – 6,499 | 11.000 Mbps |
| 6,500 – 6,999 | 11.500 Mbps |
| 7,000 – 7,499 | 12.000 Mbps |
| 7,500 – 7,999 | 12.500 Mbps |
| 8,000 – 8,499 | 13.000 Mbps |
| 8,500 – 8,999 | 13.500 Mbps |
| 9,000 – 9,499 | 14.000 Mbps |
| 9,500 – 9,999 | 14.500 Mbps |
| 10.000 + | 35.000 Mbps + |
Tabel catatan
- Anda memerlukan setidaknya 50 lisensi untuk menggunakan fitur konektivitas jaringan jarak jauh.
- Jumlah lisensi adalah jumlah total lisensi yang Anda beli (Microsoft Entra ID P1 + Akses Internet Microsoft Entra / Microsoft Entra Suite). Setelah 10.000 lisensi, Anda mendapatkan tambahan 500 Mbps untuk setiap 500 lisensi yang Anda beli (misalnya, 11.000 lisensi = 36.000 Mbps).
- Organisasi yang melampaui 10.000 lisensi sering beroperasi dalam skala perusahaan dan membutuhkan infrastruktur yang lebih kuat. Lompatan ke 35.000 Mbps memastikan kapasitas yang cukup untuk memenuhi permintaan penyebaran tersebut, mendukung volume lalu lintas yang lebih tinggi, dan memberikan fleksibilitas untuk memperluas alokasi bandwidth sesuai kebutuhan.
- Jika Anda membutuhkan lebih banyak bandwidth, Anda dapat membeli bandwidth tambahan dengan kenaikan 500 Mbps melalui SKU Bandwidth Jaringan Jarak Jauh.
Contoh bandwidth yang dialokasikan per penyewa
Tenant Satu:
- 1.000 lisensi Microsoft Entra ID P1
- Dialokasikan: 1.000 lisensi, 3.500 Mbps
Penyewa dua:
- 3.000 lisensi Microsoft Entra ID P1
- 3.000 lisensi Akses Internet
- Dialokasikan: 6.000 lisensi, 11.000 Mbps
Penyewa tiga:
- 8.000 lisensi Microsoft Entra ID P1
- 6.000 lisensi Microsoft Entra Suite
- Dialokasikan: 14.000 lisensi, 39.000 Mbps
Contoh distribusi bandwidth untuk jaringan jarak jauh
Tenant satu:
Total bandwidth: 3.500 Mbps
Alokasi:
- Situs A: 2 terowongan IPsec: 2 x 250 Mbps = 500 Mbps
- Situs B: 2 terowongan IPsec: 2 x 250 Mbps = 500 Mbps
- Situs C: 2 terowongan IPsec: 2 x 500 Mbps = 1.000 Mbps
- Situs D: 2 terowongan IPsec: 2 x 750 Mbps = 1.500 Mbps
Bandwidth yang tersisa: Tidak ada
Penyewa dua:
Total bandwidth: 11.000 Mbps
Alokasi:
- Situs A: 2 terowongan IPsec: 2 x 250 Mbps = 500 Mbps
- Situs B: 2 terowongan IPsec: 2 x 500 Mbps = 1.000 Mbps
- Situs C: 2 terowongan IPsec: 2 x 750 Mbps = 1.500 Mbps
- Situs D: 2 terowongan IPsec: 2 x 1.000 Mbps = 2.000 Mbps
- Lokasi E: 2 terowongan IPsec: 2 x 1.000 Mbps = 2.000 Mbps
Bandwidth yang tersisa: 4.000 Mbps
Penyewa tiga:
Total bandwidth: 39.000 Mbps
Alokasi:
- Situs A: 2 terowongan IPsec: 2 x 250 Mbps = 500 Mbps
- Situs B: 2 terowongan IPsec: 2 x 500 Mbps = 1.000 Mbps
- Situs C: 2 terowongan IPsec: 2 x 750 Mbps = 1.500 Mbps
- Situs D: 2 terowongan IPsec: 2 x 750 Mbps = 1.500 Mbps
- Lokasi E: 2 terowongan IPsec: 2 x 1.000 Mbps = 2.000 Mbps
- Situs F: 2 terowongan IPsec: 2 x 1.000 Mbps = 2.000 Mbps
- Situs G: 2 terowongan IPsec: 2 x 1.000 Mbps = 2.000 Mbps
Bandwidth yang tersisa: 28.500 Mbps