Ağ şifreleme gereksinimlerini tanımlama

  • Makale

Bu bölümde, şirket içi ve Azure ile Azure bölgeleri arasında ağ şifrelemesi elde etmek için önemli öneriler incelanmaktadır.

Tasarımla ilgili dikkat edilmesi gerekenler:

  • Maliyet ve kullanılabilir bant genişliği, uç noktalar arasındaki şifreleme tünelinin uzunluğuyla ters orantılıdır.

  • Azure'a bağlanmak için VPN kullanırken trafik, İnternet üzerinden IPsec tünelleri aracılığıyla şifrelenir.

  • ExpressRoute'u özel eşlemeyle kullanırken trafik şu anda şifrelenmez.

  • ExpressRoute özel eşlemesi üzerinden Siteden Siteye VPN bağlantısı yapılandırmak mümkündür.

  • Ağ şifrelemesi elde etmek için ExpressRoute Direct'e medya erişim denetimi güvenliği (MACsec) şifrelemesi uygulayabilirsiniz.

  • Azure trafiği veri merkezleri arasında (Microsoft tarafından veya Microsoft adına denetlenmeyen fiziksel sınırların dışında) hareket ettiğinde, temel alınan ağ donanımında MACsec veri bağlantısı katmanı şifrelemesi kullanılır. Bu, sanal ağ eşleme trafiği için geçerlidir.

Tasarım önerileri:

Şifreleme akışlarını gösteren diyagram.

Şekil 1: Şifreleme akışları.

  • VPN ağ geçitlerini kullanarak şirket içinden Azure'a VPN bağlantıları kurarken trafik, IPsec tünelleri aracılığıyla protokol düzeyinde şifrelenir. Yukarıdaki diyagramda bu şifreleme akışında Agösterilir.

  • ExpressRoute Direct kullanırken, kuruluşunuzun yönlendiricileri ve MSEE arasındaki 2. Katmandaki trafiği şifrelemek için MACsec'i yapılandırın. Diyagram bu şifrelemeyi akışında Bgösterir.

  • MACsec'in bir seçenek olmadığı Sanal WAN senaryolar için (örneğin, ExpressRoute Direct kullanmamak), ExpressRoute özel eşlemesi üzerinden IPsec tünelleri oluşturmak için bir Sanal WAN VPN Gateway kullanın. Diyagram bu şifrelemeyi akışında Cgösterir.

  • Sanal WAN olmayan senaryolarda ve MACsec'in bir seçenek olmadığı durumlarda (örneğin, ExpressRoute Direct'i kullanmadığınızda), tek seçenekler şunlardır:

    • ExpressRoute özel eşlemesi üzerinden IPsec tünelleri oluşturmak için iş ortağı NVA'larını kullanın.
    • Microsoft eşlemesi ile ExpressRoute üzerinden bir VPN tüneli oluşturun.
    • ExpressRoute özel eşlemesi üzerinden Siteden Siteye VPN bağlantısı yapılandırma özelliğini değerlendirin.

  • Yerel Azure çözümleri (akışlarda B ve C diyagramda gösterildiği gibi) gereksinimlerinizi karşılamıyorsa, ExpressRoute özel eşlemesi üzerinden trafiği şifrelemek için Azure'daki iş ortağı NVA'larını kullanın.