Veelvoorkomende scenario's voor gesplitste VPN-tunneling voor Microsoft 365

Opmerking

Dit artikel maakt deel uit van een reeks artikelen over Microsoft 365-optimalisatie voor externe gebruikers.

In de onderstaande lijst ziet u de meest voorkomende VPN-scenario's in bedrijfsomgevingen. De meeste klanten werken traditioneel met model 1 (VPN Forced Tunnel). Deze sectie helpt u om snel en veilig over te stappen naar model 2, dat met relatief weinig inspanning haalbaar is en enorme voordelen heeft voor de netwerkprestaties en gebruikerservaring.

Model Beschrijving
1. GEforceerde VPN-tunnel 100% van het verkeer gaat naar de VPN-tunnel, inclusief on-premises, internet en alle O365/M365
2. GEforceerde VPN-tunnel met enkele uitzonderingen VPN-tunnel wordt standaard gebruikt (standaardroutepunten naar VPN), met weinig belangrijke uitzonderingsscenario's die direct mogen gaan
3. GEforceerde VPN-tunnel met brede uitzonderingen VPN-tunnel wordt standaard gebruikt (standaardroutepunten naar VPN), met grote uitzonderingen die direct mogen gaan (zoals alle Microsoft 365, Alle Salesforce, Alle Zoom)
4. VPN Selectieve tunnel VPN-tunnel wordt alleen gebruikt voor op corpnet gebaseerde services. Standaardroute (internet en alle internetservices) gaat direct.
5. Geen VPN Een variatie van #2. In plaats van verouderde VPN worden alle corpnet-services gepubliceerd via moderne beveiligingsmethoden (zoals Zscaler ZPA, Azure Active Directory (Azure AD) Proxy/MCAS, enzovoort)

1. GEforceerde VPN-tunnel

Het meest voorkomende startscenario voor de meeste zakelijke klanten. Er wordt een geforceerde VPN gebruikt, wat betekent dat 100% van het verkeer wordt omgeleid naar het bedrijfsnetwerk, ongeacht of het eindpunt zich in het bedrijfsnetwerk bevindt of niet. Extern (internet) gebonden verkeer, zoals Microsoft 365 of surfen op internet, wordt vervolgens weer vastgemaakt aan de on-premises beveiligingsapparatuur, zoals proxy's. In het huidige klimaat met bijna 100% van de gebruikers die op afstand werken, zorgt dit model voor een hoge belasting van de VPN-infrastructuur en zal het waarschijnlijk de prestaties van al het bedrijfsverkeer aanzienlijk belemmeren, waardoor de onderneming efficiënt kan werken in een tijd van crisis.

VPN Geforceerde tunnel model 1.

2. GEforceerde VPN-tunnel met een klein aantal vertrouwde uitzonderingen

Aanzienlijk efficiënter voor een onderneming om onder te werken. Met dit model kunnen enkele beheerde en gedefinieerde eindpunten die gevoelig zijn voor hoge belasting en latentie de VPN-tunnel omzeilen en rechtstreeks naar de Microsoft 365-service gaan. Dit verbetert de prestaties voor de ge offloade services aanzienlijk en vermindert ook de belasting van de VPN-infrastructuur, waardoor elementen waarvoor het nog steeds nodig is, met lagere conflicten voor resources kunnen werken. Het is dit model dat in dit artikel is gericht op het helpen bij de overgang naar, omdat eenvoudige, gedefinieerde acties snel kunnen worden uitgevoerd met tal van positieve resultaten.

SPLIT Tunnel VPN model 2.

3. GEforceerde VPN-tunnel met brede uitzonderingen

Hiermee wordt het bereik van model 2 uitgebreid. In plaats van alleen een kleine groep gedefinieerde eindpunten rechtstreeks te verzenden, wordt al het verkeer rechtstreeks naar vertrouwde services zoals Microsoft 365 en SalesForce verzonden. Dit vermindert de belasting van de zakelijke VPN-infrastructuur verder en verbetert de prestaties van de gedefinieerde services. Aangezien dit model waarschijnlijk meer tijd in beslag neemt om de haalbaarheid van en de implementatie te beoordelen, is het waarschijnlijk een stap die op een later tijdstip iteratief kan worden uitgevoerd zodra model twee is geïmplementeerd.

SPLIT Tunnel VPN-model 3.

4. VPN selectieve tunnel

Hiermee wordt het derde model omgekeerd, omdat alleen verkeer dat wordt geïdentificeerd als het hebben van een bedrijfs-IP-adres via de VPN-tunnel wordt verzonden. Het internetpad is dus de standaardroute voor al het andere verkeer. Dit model vereist dat een organisatie goed op weg is naar Zero Trust in staat is om dit model veilig te implementeren. Houd er rekening mee dat dit model of enige variatie daarvan na verloop van tijd waarschijnlijk de noodzakelijke standaardinstelling wordt naarmate er meer services van het bedrijfsnetwerk en naar de cloud worden verplaatst.

Microsoft gebruikt dit model intern. U vindt meer informatie over de implementatie van VPN-split tunneling door Microsoft bij Running on VPN: How Microsoft is keeping its remote workforce connected.

SPLIT Tunnel VPN model 4.

5. Geen VPN

Een geavanceerdere versie van modelnummer 2, waarbij interne services worden gepubliceerd via een moderne beveiligingsbenadering of SDWAN-oplossing, zoals Azure AD Proxy, Defender voor Cloud Apps, Zscaler ZPA, enzovoort.

SPLIT Tunnel VPN model 5.

Overzicht: VPN split tunneling voor Microsoft 365

Vpn split tunneling implementeren voor Microsoft 365

Teams-mediaverkeer beveiligen voor gesplitste VPN-tunneling

Speciale overwegingen voor Stream en livegebeurtenissen in VPN-omgevingen

Microsoft 365-prestatieoptimalisatie voor China-gebruikers

Microsoft 365-netwerkconnectiviteitsprincipes

Microsoft 365-netwerkverbindingen evalueren

Microsoft 365-netwerk en prestaties afstemmen

Alternatieve manieren voor beveiligingsprofessionals en IT om moderne beveiligingscontroles te realiseren in de huidige unieke scenario's voor werken op afstand (Microsoft Security Team-blog)

VPN-prestaties bij Microsoft verbeteren: Windows 10 VPN-profielen gebruiken om automatische verbindingen toe te staan

Uitvoeren op VPN: hoe Microsoft zijn externe werknemers verbonden houdt

Wereldwijd Microsoft-netwerk