Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Esta seção explora as principais recomendações para obter criptografia de rede entre o local e o Azure, bem como entre as regiões do Azure.
Considerações de design
O custo e a largura de banda disponível são inversamente proporcionais ao comprimento do túnel de criptografia entre os pontos de extremidade.
A encriptação da Rede Virtual do Azure melhora as capacidades de encriptação em trânsito já existentes no Azure e permite uma encriptação e desencriptação de tráfego sem interrupções entre máquinas virtuais (VMs) e máquinas virtuais com conjuntos de escala.
Quando você está usando uma VPN para se conectar ao Azure, o tráfego é criptografado pela Internet por meio de túneis IPsec.
Quando você estiver usando o Azure ExpressRoute com emparelhamento privado, o tráfego não está criptografado no momento.
É possível configurar uma ligação VPN de site a site sobre o emparelhamento privado do ExpressRoute.
Pode aplicar a criptografia de segurança de controlo de acesso à mídia (MACsec) ao ExpressRoute Direct para obter a criptografia de rede.
Quando o tráfego do Azure se desloca entre centros de dados (fora dos limites físicos não controlados pela Microsoft ou em nome da Microsoft), é usada a encriptação de camada de ligação de dados MACsec no hardware de rede subjacente. Isso é aplicável ao tráfego de emparelhamento de redes virtuais.
Recomendações de design
Diagrama que ilustra fluxos de encriptação.
Figura 1: Fluxos de criptografia.
Quando você estabelece conexões VPN do local para o Azure usando gateways VPN, o tráfego é criptografado em um nível de protocolo por meio de túneis IPsec. O diagrama anterior mostra esta criptografia em fluxo
A.Se precisar cifrar o tráfego VM-to-VM na mesma rede virtual ou em redes virtuais emparelhadas regionais ou globais, use cifra de Rede Virtual.
Quando estiver a utilizar o ExpressRoute Direct, configure o MACsec para criptografar o tráfego na Camada 2 entre os routers da vossa organização e o MSEE. O diagrama mostra esta criptografia em fluxo
B.Para cenários de WAN Virtual em que o MACsec não é uma opção (por exemplo, não usar o ExpressRoute Direct), use um Gateway VPN de WAN Virtual para estabelecer túneis IPsec no emparelhamento privado da Rota Expressa. O diagrama mostra essa criptografia em fluxo
C.Para cenários de WAN não Virtual e onde o MACsec não é uma opção (por exemplo, não usar o ExpressRoute Direct), as únicas opções são:
- Utilize NVAs de parceiros para estabelecer túneis IPsec através do emparelhamento privado do ExpressRoute.
- Estabeleça um túnel VPN sobre a Rota Expressa com o emparelhamento da Microsoft.
- Avalie a capacidade de configurar uma conexão VPN Site a Site sobre o emparelhamento privado do ExpressRoute.
Se as soluções nativas do Azure (como mostrado nos fluxos
BeCno diagrama) não atenderem aos seus requisitos, use NVAs de parceiros no Azure para criptografar o tráfego no emparelhamento privado do ExpressRoute.