了解遠端網路連線能力
Global Secure Access 支援兩種連線選項:在終端使用者裝置上安裝用戶端,以及設定遠端網路,例如具有實體路由器的分支位置。 遠端網路連線能力可簡化終端使用者和來賓在不需安裝全球安全存取用戶端的情況下,從遠端網路連線的方式。
本文描述遠端網路連線能力的重要概念,以及很實用的常見案例。
什麼是遠端網路?
遠端網路是需要網際網路連線能力的遠端位置或網路。 例如,許多組織都有一個中央總部,並在不同地理區域內擁有分公司位置。 這些分公司需要存取公司資料和服務。 他們需要一種安全的方式來與資料中心、總部和遠端工作者通訊。 遠端網路的安全性對於許多類型的組織而言至關重要。
遠端網路 (例如分公司位置) 通常會透過專用的廣域網路 (WAN) 或虛擬私人網路 (VPN) 連線來連線到公司網路。 位於分公司位置的員工會使用客戶駐地設備 (CPE) 連線到網路。
目前面臨的遠端網路安全性挑戰
頻寬需求成長:需要網際網路存取的裝置數量呈現指數型增加。 傳統網路則難以調整。 隨著軟體即服務 (SaaS) 應用程式 (例如 Microsoft 365) 的出現,對於低延遲和無抖動通訊的需求不斷增加,而廣域網路 (WAN) 和多通訊協定標籤交換 (MPLS) 等傳統技術已難以滿足這類需求。
IT 小組成本高昂:一般而言,防火牆會放置於內部部署的實體裝置上,而這需要 IT 小組進行設定和維護。 在每個分公司位置保有 IT 小組的成本很高。
日新月異的威脅:惡意執行者正在尋找可攻擊網路邊緣裝置的新途徑。 位於分公司 (甚至家庭辦公室) 的邊緣裝置通常是最脆弱的攻擊點。
全球安全存取遠端網路連線能力如何運作?
若要將遠端網路連線到全球安全存取,您可以在內部部署設備與全球安全存取端點之間設定網際網路通訊協定安全性 (IPSec) 通道。 您指定的流量會透過 IPSec 通道路由傳送到最接近的全球安全存取端點。 您也可以在 Microsoft Entra 系統管理中心套用安全性原則。
全球安全存取的遠端網路連線能力提供遠端網路與全球安全存取服務之間的安全解決方案。 其不會提供遠端網路彼此之間的安全連線。 若要深入了解安全的遠端網路對遠端網路連線能力,請參閱 Azure 虛擬 WAN 文件。
為什麼遠端網路連線能力對您很重要?
在遠端工作和分散式小組的世界中,維護公司網路的安全性越來越困難。 安全性服務邊緣 (SSE) 承諾打造一個安全的世界,讓客戶可從世界各地存取其公司資源,而不需將其流量回傳到總部。
常見的遠端網路連線能力案例
我不想在數千部內部部署的裝置上安裝用戶端。
一般而言,SSE 是透過在裝置上安裝用戶端來強制執行。 用戶端會建立通往最接近 SSE 端點的通道,並透過該通道路由傳送所有網際網路流量。 SSE 解決方案會檢查流量並強制執行安全性原則。 如果您的使用者不是行動型,且會以實體分公司位置為基礎,則適用於該分公司位置的遠端網路連線能力可省去在每個裝置上安裝用戶端的麻煩。 您可以透過在分公司的核心路由器與全球安全存取端點之間建立 IPSec 通道,來連線整個分公司位置。
我無法在組織擁有的所有裝置上安裝用戶端。
有時,用戶端無法安裝於所有裝置上。 全球安全存取目前提供適用於 Windows 的用戶端。 但是,內部部署且要將流量傳送到網際網路的 Linux、大型主機、相機、印表機及其他類型的裝置又該如何呢? 此流量仍需要受到監視和保護。 當您連線遠端網路時,可以針對來自該位置的所有流量設定原則,而不論裝置來源為何。
我的網路上有尚未安裝用戶端的來賓。
您網路上的來賓裝置可能尚未安裝用戶端。 為了確保那些裝置會遵守您的網路安全性原則,您需要其流量透過全球安全存取端點進行路由傳送。 遠端網路連線能力可以解決此問題。 來賓裝置上不需要安裝任何用戶端。 根據預設,來自遠端網路的所有連出流量都會經過安全性評估。