Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Genel bakış
Genel Güvenli Erişim iki bağlantı seçeneğini destekler: bir istemciyi son kullanıcı cihazına yükleme ve fiziksel yönlendirici ile dal konumu gibi uzak bir ağ yapılandırma. Uzak ağ bağlantısı, Genel Güvenli Erişim İstemcisi'ni yüklemeye gerek kalmadan son kullanıcılarınızın ve konuklarınızın uzak bir ağdan nasıl bağlanacaklarını kolaylaştırır.
Bu makalede, uzak ağ bağlantısıyla ilgili temel kavramlar ve bunun yararlı olduğu yaygın senaryolar açıklanmaktadır.
Uzak ağ nedir?
Uzak ağlar, uzak konumlar veya İnternet bağlantısı gerektiren ağlardır. Örneğin, birçok kuruluşun farklı coğrafi bölgelerde merkezi merkezi ve şube ofisi konumları vardır. Bu şubelerin kurumsal verilere ve hizmetlere erişmesi gerekir. Veri merkezi, genel merkez ve uzak çalışanlarla iletişim kurmak için güvenli bir yönteme ihtiyaçları vardır. Uzak ağların güvenliği birçok kuruluş türü için çok önemlidir.
Genellikle, dal konumu gibi uzak ağları ayrılmış bir Geniş Alan Ağı (WAN) veya Sanal Özel Ağ (VPN) bağlantısı aracılığıyla şirket ağına bağlarsınız. Şube konumundaki çalışanlar, müşteri şirket içi ekipmanlarını (CPE) kullanarak ağa bağlanır.
Uzak ağ güvenliğinin mevcut zorlukları
Bant genişliği gereksinimleri büyüdü – İnternet erişimi gerektiren cihazların sayısı katlanarak artıyor. Geleneksel ağların ölçeklendirilmesi zordur. Microsoft 365 gibi Hizmet Olarak Yazılım (SaaS) uygulamalarının ortaya çıkmasıyla birlikte, Geniş Alan Ağı (WAN) ve Çok Protokollü Etiket Değiştirme (MPLS) gibi geleneksel teknolojilerin karşılaştığı düşük gecikme süresi ve titreşimsiz iletişim talepleri giderek artmaktadır.
BT ekipleri pahalıdır – Genellikle güvenlik duvarlarını şirket içi fiziksel cihazlara yerleştirirsiniz ve bu da kurulum ve bakım için bir BT ekibi gerektirir. Her şube lokasyonunda bir BT ekibini bulundurmak pahalıdır.
Gelişen tehditler – Kötü niyetli aktörler, ağların kenarındaki cihazlara saldırmak için yeni yollar bulmaya devam ediyor. Şubelerdeki ve hatta ev ofislerindeki uç cihazlar genellikle en savunmasız saldırı noktasıdır.
Tip
Uzak ağların dayanıklılığını geliştirme yönergeleri için bkz. Genel Güvenli Erişim uzak ağ dayanıklılığı için en iyi yöntemler.
Genel Güvenli Erişim uzak ağ bağlantısı nasıl çalışır?
Uzak ağı Genel Güvenli Erişim'e bağlamak için, şirket içi donanımınız ile Genel Güvenli Erişim uç noktası arasında bir İnternet Protokolü Güvenliği (IPsec) tüneli ayarlayın. Belirttiğiniz trafiği IPsec tüneli üzerinden en yakın Genel Güvenli Erişim uç noktasına yönlendirin. güvenlik ilkelerini Microsoft Entra yönetim merkezi uygulayabilirsiniz.
Genel Güvenli Erişim uzak ağ bağlantısı, uzak ağ ile Genel Güvenli Erişim hizmeti arasında güvenli bir çözüm sağlar. Bir uzak ağ ile başka bir uzak ağ arasında güvenli bir bağlantı sağlamaz. Güvenli uzak ağdan uzak ağa bağlantı hakkında daha fazla bilgi için Azure Sanal WAN belgelerine bakın.
Desteklenen trafik iletme profilleri
Uzak ağlar, trafik almak için farklı trafik iletme profillerini destekler. Trafik iletme profilleri, Genel Güvenli Erişim aracılığıyla yönlendirilen trafiği denetler. Temel profil gibi güvenlik profilleri, alınan trafiğe hangi ilkelerin uygulanacağını denetler.
| Trafik yönlendirme profili | Genel Güvenli Erişim istemcisi | Uzak ağ |
|---|---|---|
| Microsoft trafiği | ✅ Destekli | ✅ Destekli |
| İnternet Erişimi | ✅ Destekli | ✅ Destekli |
| Özel Erişim | ✅ Destekli | ❌ Desteklenmiyor |
Önemli
Microsoft trafiğini ve Internet Access trafiği iletme profillerini uzak ağlara atayabilirsiniz. Özel Erişim trafik iletme profili, son kullanıcı cihazlarında Genel Güvenli Erişim istemcisinin yüklü olmasını gerektirir. Daha fazla bilgi için bkz. Uzak ağa trafik profili atama ve Trafik iletme profillerini anlama.
Bir iletme profili üzerinden trafik aldıktan sonra, güvenlik profillerini kullanarak bu profile güvenlik ilkeleri uygulayın. Temel güvenlik profili, uzak ağ trafiği de dahil olmak üzere Genel Güvenli Erişim üzerinden yönlendirilen tüm trafik için kiracı düzeyinde ilkeler uygular. Koşullu Erişim ilkelerine bağlı kullanıcı farkında güvenlik profilleri için Global Güvenli Erişim istemcisine ihtiyaç duyulur.
Uzak ağ cihaz bağlantılarında trafik profili uygulama
Genel Güvenli Erişim, uzak ağ ile ilişkilendirilmiş IPsec tünelleri gibi tüm cihaz bağlantıları için trafik iletme profillerini zorunlu kılmaktadır. Yalnızca etkin ve ilişkili bir trafik iletme profiliyle eşleşen trafik türlerini iletir. Genel Güvenli Erişim ağ geçidi diğer tüm trafiği bırakır.
Bu zorlama şu anlama gelir:
- Yalnızca Microsoft trafik profilini uzak ağ ile ilişkilendirirseniz, Genel Güvenli Erişim ağ geçidi cihaz bağlantısı üzerinden gönderilen Microsoft olmayan trafiği (genel İnternet trafiği gibi) bırakır.
- Yalnızca Internet Access trafik profili ile uzak ağı ilişkilendirirseniz, Genel Güvenli Erişim ağ geçidi cihaz bağlantısı üzerinden gönderilen herhangi bir Microsoft trafiğini engeller.
Önemli
İstenmeyen trafik kaybını önlemek için, lisansınız izin verirse bothMicrosoft trafik profili ve Internet Access trafik profili uzak ağınızla ilişkilendirin. Bu yapılandırma, uygun profilin ağ geçidine sessizce bırakmak yerine IPsec tüneli üzerinden iletilen tüm trafiği işlemesini sağlar.
Kullanılabilir trafik iletme profilleri ve yapılandırmalarıyla ilgili ayrıntılar için bkz. Genel Güvenli Erişim trafik iletme profilleri.
Uzak ağ bağlantısı sizin için neden önemlidir?
Uzaktan çalışma ve dağıtılmış ekipler dünyasında kurumsal ağın güvenliğini sağlamak giderek zorlaşıyor. Güvenlik Hizmeti Edge (SSE), müşterilerin şirket kaynaklarına dünyanın her yerinden, genel merkezdeki trafiklerini geri almalarına gerek kalmadan erişebilecekleri bir güvenlik dünyası sunar.
Yaygın uzak ağ bağlantı senaryoları
Şirket içi binlerce cihaza istemci yüklemek istemiyorum.
Genellikle istemcisini bir cihaza yükleyerek SSE'yi zorunlu kılmanız gerekir. İstemci, en yakın SSE uç noktasına bir tünel oluşturur ve tüm İnternet trafiğini üzerinden yönlendirir. SSE çözümleri trafiği inceler ve güvenlik ilkelerini uygular. Kullanıcılarınız mobil değilse ve fiziksel bir dal konumuna bağlıysa, bu dal konumu için uzak ağ bağlantısı istemciyi her cihaza yüklemenin acısını ortadan kaldırır. Şube ofisinin çekirdek yönlendiricisi ile Genel Güvenli Erişim uç noktası arasında bir IPSec tüneli oluşturarak dal konumunun tamamını bağlayabilirsiniz.
Kuruluşumun sahip olduğu tüm cihazlara istemci yükleyemiyorum.
Bazen istemciyi tüm cihazlara yükleyemezsiniz. Genel Güvenli Erişim şu anda Windows, macOS, Android ve iOS için istemciler sağlar. Peki ya linux, ana bilgisayarlar, kameralar, yazıcılar ve şirket içi olan ve İnternet'e trafik gönderen diğer cihaz türleri? Yine de bu trafiği izlemeniz ve güvenliğini sağlamanız gerekir. Uzak bir ağı bağladığınızda, kaynağı olan cihazdan bağımsız olarak bu konumdan gelen tüm trafik için ilkeler ayarlayabilirsiniz.
Ağımda istemcisi yüklü olmayan konuklarım var.
Ağınızdaki konuk cihazlarda istemci yüklü olmayabilir. Bu cihazların ağ güvenlik ilkelerinize uydığından emin olmak için, trafiğin Genel Güvenli Erişim uç noktası üzerinden yönlendirilmiş olması gerekir. Uzak ağ bağlantısı bu sorunu çözer. İstemciyi konuk cihazlara yüklemeniz gerekmez. Uzak ağdan giden tüm trafik varsayılan olarak güvenlik değerlendirmesinden geçer.
Her kiracı için bant genişliği ayırma nedir?
Satın alacağınız lisans sayısı, toplam bant genişliği ayırmanızı belirler. Her Microsoft Entra ID P1 lisansı, Microsoft Entra İnternet Erişimi lisansı ve Microsoft Entra Paketi lisansı toplam bant genişliğinize eklenir. Uzak ağlar için bant genişliğini IPsec tünellerine 250 Mb/sn, 500 Mb/sn, 750 Mb/sn veya 1.000 Mb/sn'lik artışlarla atayabilirsiniz. Bu esneklik, belirli gereksinimlerinize göre farklı uzak ağ konumlarına bant genişliği ayırabileceğiniz anlamına gelir. en iyi performans için Microsoft, yüksek kullanılabilirlik için konum başına en az iki IPsec tüneli yapılandırmanızı önerir. Aşağıdaki tabloda, satın aldığınız lisans sayısına göre toplam bant genişliği gösterilmektedir.
İlk bant genişliği ayırma
| Lisans sayısı | Toplam Bant Genişliği (Mb/sn) |
|---|---|
| 50 – 99 | 500 Mb/sn |
| 100 – 499 | 1.000 Mb/sn |
| 500 – 999 | 2.000 Mb/sn |
| 1,000 – 1,499 | 3.500 Mbps |
| 1,500 – 1,999 | 4.000 Mb/sn |
| 2,000 – 2,499 | 4.500 Mb/sn |
| 2,500 – 2,999 | 5.000 Mb/sn |
| 3,000 – 3,499 | 5.500 Mbps |
| 3,500 – 3,999 | 6.000 Mb/sn |
| 4,000 – 4,499 | 6.500 Mbps |
| 4,500 – 4,999 | 7.000 Mbps |
| 5,000 – 5,499 | 10.000 Mb/sn |
| 5,500 – 5,999 | 10 500 Mbps |
| 6,000 – 6,499 | 11.000 Mb/sn |
| 6,500 – 6,999 | 11.500 Mbps |
| 7,000 – 7,499 | 12.000 Mb/sn |
| 7,500 – 7,999 | 12.500 Mbps |
| 8,000 – 8,499 | 13.000 Mbps |
| 8,500 – 8,999 | 13.500 Mbps |
| 9,000 – 9,499 | 14.000 Mbps |
| 9,500 – 9,999 | 14.500 Mbps |
| 10.000+ | 35.000 Mbps + |
Tablo notları
- Uzak ağ bağlantısı özelliğini kullanmak için en az 50 lisansa ihtiyacınız vardır.
- Lisans sayısı, satın aldığınız toplam lisans sayısıdır (P1 + Microsoft Entra İnternet Erişimi / Microsoft Entra Paketi Microsoft Entra ID). 10.000 lisanstan sonra, satın alacağınız her 500 lisans için fazladan 500 Mb/sn alırsınız (örneğin, 11.000 lisans = 36.000 Mb/sn).
- 10.000 lisansı aşan kuruluşlar genellikle kurumsal ölçekte çalışır ve daha sağlam bir altyapıya ihtiyaç duyar. 35.000 Mb/sn'ye atlama, bu tür dağıtımların taleplerini karşılamak için yüksek kapasite sağlar, daha yüksek trafik hacimlerini destekler ve gerektiğinde bant genişliği ayırmalarını genişletme esnekliği sağlar.
- Daha fazla bant genişliğine ihtiyacınız varsa, Uzak Ağ Bant Genişliği SKU'su aracılığıyla 500 Mb/sn'lik artışlarla ek bant genişliği satın alabilirsiniz.
Kiracı başına ayrılan bant genişliği örnekleri
Birinci kiracı:
- 1.000 Microsoft Entra ID P1 lisansı
- Ayrılmış: 1.000 lisans, 3.500 Mb/sn
İki kiracı:
- 3.000 Microsoft Entra ID P1 lisansı
- 3.000 İnternet Erişimi lisansı
- Ayrılmış: 6.000 lisans, 11.000 mb/sn
Üçüncü kiracı:
- 8.000 Microsoft Entra ID P1 lisansı
- 6.000 Microsoft Entra Paketi lisansı
- Ayrılmış: 14.000 lisans, 39.000 Mb/sn
Uzak ağlar için bant genişliği dağıtımı örnekleri
Birinci Kiracı:
Toplam bant genişliği: 3.500 Mb/sn
Ayırma:
- Site A: 2 IPsec tüneli: 2 x 250 Mb/sn = 500 Mb/sn
- Site B: 2 IPsec tüneli: 2 x 250 Mb/sn = 500 Mb/sn
- Site C: 2 IPsec tüneli: 2 x 500 Mb/sn = 1.000 Mb/sn
- Site D: 2 IPsec tüneli: 2 x 750 Mb/sn = 1.500 Mb/sn
Kalan bant genişliği: Yok
İkinci kiracı:
Toplam bant genişliği: 11.000 Mb/sn
Ayırma:
- Site A: 2 IPsec tüneli: 2 x 250 Mb/sn = 500 Mb/sn
- Site B: 2 IPsec tüneli: 2 x 500 Mb/sn = 1.000 Mb/sn
- Site C: 2 IPsec tüneli: 2 x 750 Mb/sn = 1.500 Mb/sn
- Site D: 2 IPsec tüneli: 2 x 1.000 Mb/sn = 2.000 Mb/sn
- Site E: 2 IPsec tüneli: 2 x 1.000 Mb/sn = 2.000 Mb/sn
Kalan bant genişliği: 4.000 Mb/sn
Üçüncü kiracı:
Toplam bant genişliği: 39.000 Mb/sn
Ayırma:
- Site A: 2 IPsec tüneli: 2 x 250 Mb/sn = 500 Mb/sn
- Site B: 2 IPsec tüneli: 2 x 500 Mb/sn = 1.000 Mb/sn
- Site C: 2 IPsec tüneli: 2 x 750 Mb/sn = 1.500 Mb/sn
- Site D: 2 IPsec tüneli: 2 x 750 Mb/sn = 1.500 Mb/sn
- Site E: 2 IPsec tüneli: 2 x 1.000 Mb/sn = 2.000 Mb/sn
- Site F: 2 IPsec tüneli: 2 x 1.000 Mb/sn = 2.000 Mb/sn
- Site G: 2 IPsec tüneli: 2 x 1.000 Mb/sn = 2.000 Mb/sn
Kalan bant genişliği: 28.500 Mb/sn