概述:Microsoft 365 VPN 拆分隧道
注意
本文属于解决远程用户 Microsoft 365 优化问题的系列文章。
- 有关实现 VPN 拆分隧道的详细指南,请参阅为 Microsoft 365 实现 VPN 拆分隧道。
- 有关 VPN 拆分隧道方案的详细列表,请参阅适用于 Microsoft 365 的 常见 VPN 拆分隧道方案。
- 有关在 VPN 拆分隧道环境中保护 Teams 媒体流量的指南,请参阅为 VPN 拆分隧道保护 Teams 媒体流量。
- 有关如何在 VPN 环境中配置 Stream 和实时事件的信息,请参阅 VPN 环境中的 Stream 和实时事件的特定注意事项。
- 有关为中国用户优化 Microsoft 365 全球租户性能的信息,请参阅 适用于中国用户的 Microsoft 365 性能优化。
企业传统上使用 VPN 来支持其用户的安全远程体验。 虽然核心工作负载仍保留在本地,但远程客户端的 VPN 通过企业网络上的数据中心路由,是远程用户访问公司资源的主要方法。 为保证这些连接的安全性,企业将沿 VPN 路径构建网络安全解决方案层。 此安全性旨在保护内部基础结构,并通过将流量重新路由到 VPN,然后通过本地 Internet 外围传出来保护外部网站的移动浏览。 VPN、网络外围和相关安全基础结构通常是针对定义的流量专门构建和缩放的,通常大多数连接是从公司网络内部启动的,并且大部分连接都保留在内部网络边界内。
在相当长的一段时间内,只要远程用户的并发规模适中且遍历 VPN 的流量较低,那么所有来自远程用户设备的连接都被路由回本地网络的 VPN 模型(这称为强制隧道)基本上是可持续的。 即使应用程序从企业外围迁移到公共 SaaS 云,一些客户仍继续使用 VPN 强制隧道作为现状。
使用强制隧道 VPN 连接到分布式和性能敏感的云应用程序并不理想,但一些企业已经接受了负面影响,以维持安全现状。 可在此处查看此方案的示例图:
图 1:传统的强制隧道 VPN 解决方案。
此问题已发展多年,许多客户报告网络流量模式发生了重大变化。 过去留在本地的流量现在连接到外部云终结点。 许多 Microsoft 客户报告说,以前,大约 80% 的网络流量流向某些内部源 (以上图) 中的虚线表示。 2020 年,随着主要工作负载转移到云,这一数字已降至 20% 或更低。 这些趋势在其他企业中并不少见。 随着时间的推移,随着云旅程的推进,上述模型变得越来越繁琐且不可持续,这阻碍了组织在进入云优先世界时变得敏捷。
全球新冠肺炎危机使这个问题升级,需要立即补救。 确保员工安全的需求对企业 IT 产生了前所未有的要求,以大规模支持在家办公的工作效率,这在后危机时代仍然如此。 Microsoft 365 非常有能力帮助客户满足这一需求,但在家办公的用户的高并发性会产生大量的 Microsoft 365 流量,如果通过强制隧道 VPN 和本地网络外围路由,会导致快速饱和,并运行 VPN 基础结构的容量不足。 在危机后的现实中,使用 VPN 访问 Microsoft 365 不再只是一个性能障碍,而是一道硬墙,它不仅影响 Microsoft 365,而且影响仍必须依赖 VPN 才能运行的关键业务运营。
Microsoft 一直与客户和更广泛的行业密切合作,从我们自己的服务中为这些问题提供有效的现代解决方案,并与行业最佳做法保持一致。 Microsoft 365 服务的连接原则旨在为远程用户高效工作,同时仍允许组织维护其连接的安全性和控制。 这些解决方案还可以在有限的工作中快速实现,但对上述问题产生重大的积极影响。
对于通过 VPN 将远程辅助角色设备连接到公司网络或云基础结构的客户,Microsoft 建议通过 VPN 拆分隧道配置路由 Microsoft 365 关键方案 Microsoft Teams、SharePoint 和 Exchange Online。 这变得特别重要,因为一线战略有助于在大规模在家工作事件(如 COVID-19 危机)期间继续提高员工工作效率。
图 2:具有定义的 Microsoft 365 异常直接发送到服务的 VPN 拆分隧道解决方案。 所有其他流量将遍历 VPN 隧道,而不考虑目标。
此方法的本质是为企业提供一种方法,以降低 VPN 基础结构饱和的风险,并在尽可能短的时间内显著提高 Microsoft 365 性能。 将 VPN 客户端配置为允许最关键的高容量 Microsoft 365 流量绕过 VPN 隧道可实现以下优势:
立即缓解企业 VPN 体系结构中大多数客户报告的性能和网络容量问题影响 Microsoft 365 用户体验的根本原因
建议的解决方案专门针对 Microsoft 365 URL 和 IP 地址范围一文中分类为优化的 Microsoft 365 服务终结点。 发到这些终结点的流量对延迟和带宽限制非常敏感,使其能够绕过 VPN 隧道可以显著改善最终用户体验并减少企业网络负载。 不构成大部分带宽或用户体验占用的 Microsoft 365 连接可以继续通过 VPN 隧道以及其余 Internet 绑定流量进行路由。 有关详细信息,请参阅 VPN 拆分隧道策略。
可由客户快速配置、测试和实现,无需额外的基础结构或应用程序要求
根据 VPN 平台和网络体系结构,实现可能只需几个小时。 有关详细信息,请参阅实现 VPN 拆分隧道。
通过不更改其他连接的路由方式(包括到 Internet 的流量)来保留客户 VPN 实现的安全状况
建议的配置遵循 VPN 流量异常的最低特权原则,并允许客户实现拆分隧道 VPN,而不会将用户或基础结构暴露于额外的安全风险中。 直接路由到 Microsoft 365 终结点的网络流量经过加密,由 Office 客户端应用程序堆栈验证其完整性,并限定为专用于在应用程序和网络级别强化的 Microsoft 365 服务的 IP 地址。 有关详细信息,请参阅安全专业人员和 IT 人员在当前独特的远程工作场景中实现新式安全控制的替代方法(Microsoft 安全团队博客)。
由大多数企业 VPN 平台在本地提供支持
Microsoft 与制作商业版 VPN 解决方案的行业合作伙伴持续协作,帮助合作伙伴开发与以上建议一致的解决方案的目标指南和配置模板。 有关详细信息,请参阅适用于常见 VPN 平台的操作指南。
提示
Microsoft 建议将拆分隧道 VPN 配置集中在记录的 Microsoft 365 服务的专用 IP 范围上。 基于 FQDN 或 AppID 的拆分隧道配置虽然在某些 VPN 客户端平台上可行,但可能无法完全涵盖关键的 Microsoft 365 方案,并且可能与基于 IP 的 VPN 路由规则冲突。 因此,Microsoft 不建议使用 Microsoft 365 FQDN 配置拆分隧道 VPN。 使用 FQDN 配置在其他相关方案中可能非常有用,例如 .pac 文件自定义或实现代理绕过。
有关完整实现指南,请参阅 实现 Microsoft 365 的 VPN 拆分隧道。
有关为远程工作者配置 Microsoft 365 的分步过程,请参阅 设置远程工作的基础结构。
VPN 拆分隧道策略
传统的企业网络通常设计为在云前世界安全工作,其中最重要的数据、服务和应用程序托管在本地,并且与大多数用户一样直接连接到内部企业网络。 因此,网络基础结构是围绕这些元素构建的,分支机构通过多协议标签切换 (MPLS) 网络连接到总部,而远程用户必须通过 VPN 连接到公司网络才能访问本地终结点和 Internet。 在此模型中,来自远程用户的所有流量都将遍历公司网络,并通过公共出口点路由到云服务。
图 2:远程用户的常见 VPN 解决方案,其中所有流量都强制回企业网络,而不考虑目标。
随着组织将数据和应用程序迁移到云,此模型的效率开始降低,因为它很快变得繁琐、昂贵且不可缩放,严重影响了用户的网络性能和效率,并限制了组织适应不断变化的需求的能力。 许多 Microsoft 客户报告说,几年前 80% 的网络流量是流向内部目标,但在 2020 年,80% 以上的流量连接到基于云的外部资源。
新冠肺炎危机加剧了这一问题,要求绝大多数组织立即解决问题。 许多客户发现,强制 VPN 模型对于 100% 远程工作场景(例如这种危机所必须的)而言,其可缩放性或性能不够。 这些组织需要快速解决方案才能高效运营。
对于 Microsoft 365 服务,Microsoft 在设计服务连接要求时,正视此问题,可以简单快速地优化一组重点、严格控制且相对静态的服务终结点,以便为访问服务的用户提供高性能,并减轻 VPN 基础结构的负担,以便仍需要该服务的流量可以使用它。
Microsoft 365 将 Microsoft 365 所需的终结点分为三类: 优化、 允许和 默认。 优化终结点是我们的重点,具有以下特征:
- 为 Microsoft 拥有和托管的终结点,托管在 Microsoft 基础结构上
- 专用于核心 Microsoft 365 工作负载,例如Exchange Online、SharePoint、Skype for Business Online 和 Microsoft Teams
- 提供了 IP
- 低更改率,预计仍保持较小数量(目前有 20 个 IP 子网)
- 高容量和/或延迟敏感
- 可在服务中提供所需的安全元素,而不是在网络上内联
- 大约占到 Microsoft 365 服务的流量量的 70-80%
这组严格限定范围的终结点可以从强制 VPN 隧道中拆分出来,并通过用户的本地界面安全直接发送到 Microsoft 365 服务。 这称为拆分隧道。
安全元素(如 DLP、AV 保护、身份验证和访问控制)都可以在服务的不同层针对这些终结点更高效地传递。 由于我们还将大部分流量量从 VPN 解决方案中转移开来,这为仍依赖于 VPN 的解决方案的业务关键流量释放了 VPN 容量。 在许多情况下,它还应消除通过冗长而昂贵的升级程序来应对这种新操作方式的需要。
图 3:具有定义的 Microsoft 365 异常直接发送到服务的 VPN 拆分隧道解决方案。 无论目标如何,所有其他流量都会强制返回到公司网络。
从安全角度来看,Microsoft 提供了一系列安全功能,可用于提供类似甚至增强的安全性,而不是由本地安全堆栈通过内联检查提供的安全性。 Microsoft 安全团队的博客文章安全专业人员和 IT 人员在当前独特的远程工作场景中实现新式安全控制的替代方法对可用功能进行了清晰的总结,你将在本文找到更详细的指导。 有关 Microsoft 实现 VPN 拆分隧道的信息,还可以参阅运行 VPN:Microsoft 如何让远程工作人员互联。
在许多情况下,可在几个小时内完成此实现,以便快速解决在组织迅速转变到全面远程工作时面临的最紧迫的问题之一。 有关 VPN 拆分隧道实现指南,请参阅 实现适用于 Microsoft 365 的 VPN 拆分隧道。
常见问题
Microsoft 安全团队发布了一篇博客文章, 为安全专业人员和 IT 人员提供了在当今独特的远程工作方案中实现新式安全控制的另一种方法,其中概述了安全专业人员和 IT 在当今独特的远程工作方案中实现新式安全控制的关键方法。 此外,下面是有关此主题的一些常见客户问题和解答。
如何实现阻止用户访问我不信任的其他租户,他们可以在何处泄露数据?
答案是称为租户限制的功能。 身份验证流量不高,也不对延迟敏感,因此可以通过 VPN 解决方案发送到应用该功能的本地代理。 此处维护受信任的租户的允许列表,如果客户端尝试获取不受信任的租户的令牌,代理只会拒绝请求。 如果租户受信任,则在用户具有正确的凭据和权限的情况下,令牌可供访问。
因此,即使用户可以建立与优化标记终结点的 TCP/UDP 连接,如果没有有效的令牌来访问有关租户,他们也无法登录和访问/移动任何数据。
此模型是否允许访问诸如个人 OneDrive 帐户之类的使用者服务?
不可以,Microsoft 365 终结点与使用者服务不同, (Onedrive.live.com 示例) 因此拆分隧道不允许用户直接访问使用者服务。 流向使用方终结点的流量将继续使用 VPN 隧道,并且现有策略将继续生效。
如果流量不再流经本地解决方案,我该如何应用 DLP 并保护我的敏感数据?
为了帮助你防止意外泄露敏感信息,Microsoft 365 提供了一组丰富的 内置工具。 可使用 Teams 和 SharePoint 的内置 DLP 功能来检测未恰当存储或共享的敏感信息。 如果远程工作策略的一部分涉及自带设备 (BYOD) 策略,则可以使用 基于应用的条件访问 来防止敏感数据下载到用户的个人设备
如何在用户直接连接时评估和保留用户身份验证的控制权?
除了问题 1 中提到的租户限制功能之外,还可以应用条件访问策略来动态评估身份验证请求的风险并做出相应的反应。 Microsoft 建议随着时间的推移实现零信任模型,我们可以使用Microsoft Entra条件访问策略来保持移动和云优先世界中的控制。 可使用条件访问策略对身份验证请求是否成功作出实时决策,具体取决于以下诸多因素:
- 设备,设备是否已知/受信任/已加入域?
- IP – 身份验证请求是否来自已知公司 IP 地址? 还是来自我们不信任的国家/地区?
- 应用程序 – 用户是否有权使用此应用程序?
然后,我们可以根据这些策略触发批准、触发 MFA 或阻止身份验证等策略。
如何防范病毒和恶意软件?
同样,Microsoft 365 为服务本身各个层中的优化标记终结点提供保护, 本文档对此进行了概述。 如前所述,在服务本身中提供这些安全元素的效率要高得多,而不是尝试按照可能不完全了解协议/流量的设备进行操作。 默认情况下,SharePoint 会自动扫描文件上传的 已知恶意软件
对于上面列出的 Exchange 终结点,Microsoft 365Exchange Online Protection和Microsoft Defender在向服务提供流量安全性方面做得非常出色。
除了优化流量外,我是否可以直接发送更多流量?
应优先考虑标记为优化的终结点,因为这些终结点将为低级别的工作提供最大好处。 但是,如果需要,需要允许标记的终结点才能使服务正常工作,并为终结点提供 IP 地址(如有必要)。
还有各种供应商提供基于云的代理/安全解决方案(称为 安全 Web 网关 ),这些解决方案为常规 Web 浏览提供集中安全性、控制和公司策略应用程序。 这些解决方案在云优先的世界中可以很好地运行(如果高度可用、性能良好),并且通过允许从靠近用户的基于云的位置提供安全 Internet 访问来预配到用户附近。 这样就无需通过 VPN/企业网络进行常规浏览流量,同时仍允许集中安全控制。
但是,即使这些解决方案已到位,Microsoft 仍强烈建议将标记为“优化”的 Microsoft 365 流量直接发送到服务。
有关允许直接访问 Azure 虚拟网络的指南,请参阅使用 Azure VPN 网关点到站点远程工作。
为什么需要端口 80? 流量是否明文发送?
端口 80 仅用于重定向到端口 443 会话之类的操作,不会通过端口 80 发送或访问任何客户数据。 加密 概述了 Microsoft 365 传输中的数据和静态数据的加密, 流量类型 概述了如何使用 SRTP 来保护 Teams 媒体流量。
此建议是否适用于使用 Microsoft 365 全球实例的中国用户?
否,不适用。 上述建议的一个警告是连接到 Microsoft 365 全球实例的中国用户。 由于该区域会经常出现跨境网络拥挤现象,因此直接 Internet 出口性能可能会有变化。 该区域中的大多数客户使用 VPN 将流量引入公司网络,并通过优化路径利用其授权的 MPLS 线路或类似出口到国家/地区以外的出口。 中国 用户的 Microsoft 365 性能优化一文进一步概述了这一点。
拆分隧道配置是否适用于在浏览器中运行的 Teams?
是的,需要注意。 获取 Microsoft Teams 的客户端中列出的浏览器中支持大多数 Teams 功能。
此外,Microsoft Edge 96 及更高版本 通过启用 Edge WebRtcRespectOsRoutingTableEnabled 策略,支持对等流量的 VPN 拆分隧道。 目前,其他浏览器可能不支持用于对等流量的 VPN 拆分隧道。
相关文章
安全专业人员和 IT 人员在当前独特的远程工作场景中实现新式安全控制的替代方法(Microsoft 安全团队博客)