Share via

Vereisten voor netwerkversleuteling definiëren

  • Artikel

In deze sectie worden belangrijke aanbevelingen besproken voor netwerkversleuteling tussen on-premises en Azure en tussen Azure-regio's.

Ontwerpoverwegingen:

  • Kosten en beschikbare bandbreedte zijn omgekeerd evenredig met de lengte van de versleutelingstunnel tussen eindpunten.

  • Wanneer u een VPN gebruikt om verbinding te maken met Azure, wordt verkeer versleuteld via internet via IPsec-tunnels.

  • Wanneer u ExpressRoute gebruikt met persoonlijke peering, wordt verkeer momenteel niet versleuteld.

  • Het is mogelijk om een site-naar-site-VPN-verbinding te configureren via persoonlijke ExpressRoute-peering.

  • U kunt MACsec-versleuteling (Media Access Control Security) toepassen op ExpressRoute Direct om netwerkversleuteling te bereiken.

  • Wanneer Azure-verkeer wordt verplaatst tussen datacenters (buiten fysieke grenzen die niet worden beheerd door Microsoft of namens Microsoft), wordt MACsec data-link layer-versleuteling gebruikt op de onderliggende netwerkhardware. Dit is van toepassing op VNet-peeringverkeer.

Ontwerpaanbeveling:

Diagram met versleutelingsstromen.

Afbeelding 1: Versleutelingsstromen.

  • Wanneer u VPN-verbindingen tot stand wilt brengen van on-premises naar Azure met behulp van VPN-gateways, wordt verkeer versleuteld op protocolniveau via IPsec-tunnels. In het voorgaande diagram ziet u deze versleuteling in de stroom A.

  • Wanneer u ExpressRoute Direct gebruikt, configureert u MACsec om verkeer op Laag 2 tussen de routers van uw organisatie en MSEE te versleutelen. In het diagram ziet u deze versleuteling in de stroom B.

  • Voor Virtual WAN scenario's waarin MACsec geen optie is (bijvoorbeeld niet met ExpressRoute Direct), gebruikt u een Virtual WAN VPN Gateway om IPsec-tunnels tot stand te brengen via persoonlijke ExpressRoute-peering. In het diagram ziet u deze versleuteling in de stroom C.

  • Voor niet-Virtual WAN scenario's en waarbij MACsec geen optie is (bijvoorbeeld niet met ExpressRoute Direct), zijn de enige opties:

    • Gebruik partner-NVA's om IPsec-tunnels tot stand te brengen via persoonlijke ExpressRoute-peering.
    • Maak een VPN-tunnel via ExpressRoute met Microsoft-peering.
    • Evalueer de mogelijkheid om een site-naar-site-VPN-verbinding te configureren via persoonlijke ExpressRoute-peering.

  • Als systeemeigen Azure-oplossingen (zoals weergegeven in stromen B en C in het diagram) niet aan uw vereisten voldoen, gebruikt u partner-NVA's in Azure om verkeer te versleutelen via persoonlijke ExpressRoute-peering.