Share via

Definire i requisiti di crittografia di rete

  • Articolo

Questa sezione esplora le principali raccomandazioni per la crittografia di rete tra l'ambiente locale e di Azure nonché tra le aree di Azure.

Considerazioni sulla progettazione:

  • I costi e la larghezza di banda disponibile sono inversamente proporzionali alla lunghezza del tunnel di crittografia tra gli endpoint.

  • Quando si usa una VPN per connettersi ad Azure, il traffico viene crittografato su Internet tramite tunnel IPsec.

  • Quando si usa ExpressRoute con peering privato, il traffico non è attualmente crittografato.

  • È possibile configurare una connessione VPN da sito a sito tramite peering privato ExpressRoute.

  • È possibile applicare la crittografia MACsec (Media Access Control Security) a ExpressRoute Direct per ottenere la crittografia di rete.

  • Quando il traffico di Azure si sposta tra i data center (al di fuori dei limiti fisici non controllati da Microsoft o per conto di Microsoft), la crittografia del livello di collegamento dati MACsec viene usata nell'hardware di rete sottostante. Ciò è applicabile al traffico di peering reti virtuali.

Consigli sulla progettazione:

Diagramma che illustra i flussi di crittografia.

Figura 1: Flussi di crittografia.

  • Quando si stabiliscono connessioni VPN da locale ad Azure usando gateway VPN, il traffico viene crittografato a livello di protocollo tramite tunnel IPsec. Il diagramma precedente mostra questa crittografia nel flusso A.

  • Quando si usa ExpressRoute Direct, configurare MACsec per crittografare il traffico al livello 2 tra i router dell'organizzazione e MSEE. Il diagramma mostra questa crittografia nel flusso B.

  • Per gli scenari di rete WAN virtuale in cui MACsec non è un'opzione (ad esempio, non si usa ExpressRoute Direct), usare un gateway VPN della rete WAN virtuale per stabilire tunnel IPsec sul peering privato ExpressRoute. Il diagramma mostra questa crittografia nel flusso C.

  • Per gli scenari senza rete WAN virtuale e in cui MACsec non è un'opzione (ad esempio, non si usa ExpressRoute Direct), le uniche opzioni sono:

  • Se le soluzioni native di Azure (come illustrato nei flussi B e C nel diagramma) non soddisfano i requisiti, usare le appliance virtuali di rete partner in Azure per crittografare il traffico tramite peering privato ExpressRoute.