Vysvětlení vzdáleného síťového připojení
Globální zabezpečený přístup podporuje dvě možnosti připojení: instalaci klienta na zařízení koncového uživatele a konfiguraci vzdálené sítě, například umístění větve s fyzickým směrovačem. Vzdálené síťové připojení zjednodušuje způsob, jakým se koncoví uživatelé a hosté připojují ze vzdálené sítě, aniž by museli instalovat globálního klienta zabezpečeného přístupu.
Tento článek popisuje klíčové koncepty vzdáleného síťového připojení spolu s běžnými scénáři, ve kterých je užitečné.
Co je vzdálená síť?
Vzdálené sítě jsou vzdálená umístění nebo sítě, které vyžadují připojení k internetu. Mnoho organizací má například centrální ústředí a pobočky v různých geografických oblastech. Tyto pobočky potřebují přístup k podnikovým datům a službám. Potřebují bezpečný způsob, jak komunikovat s datovým centrem, ústředím a vzdálenými pracovníky. Zabezpečení vzdálených sítí je zásadní pro mnoho typů organizací.
Vzdálené sítě, jako je například umístění větve, jsou obvykle připojené k podnikové síti prostřednictvím vyhrazené sítě WAN (Wide Area Network) nebo připojení VPN (Virtual Private Network). Zaměstnanci ve větvi se připojují k síti pomocí místního vybavení zákazníka (CPE).
Aktuální výzvy zabezpečení vzdálené sítě
Požadavky na šířku pásma se zvýšily – počet zařízení vyžadujících přístup k internetu se exponenciálně zvyšuje. Tradiční sítě se obtížně škálují. S nástupem aplikací SaaS (Software as a Service), jako je Microsoft 365, stále roste poptávka po nízké latenci a zadržování komunikace, se kterými se potýkají tradiční technologie, jako je WAN (Wide Area Network) a MPLS (Multi-Protocol Label Switching).
IT týmy jsou nákladné – brány firewall jsou obvykle umístěné na místních fyzických zařízeních, což vyžaduje IT tým pro nastavení a údržbu. Údržba IT týmu v každém umístění pobočky je nákladná.
Vyvíjející se hrozby – Aktéři se zlými úmysly hledají nové cesty k útoku na zařízení na hraničních sítích. Hraniční zařízení ve firemních pobočkách nebo dokonce domácí pobočky jsou často nejcitlivějším bodem útoku.
Jak funguje připojení ke vzdálené síti globálního zabezpečeného přístupu?
Pokud chcete připojit vzdálenou síť ke globálnímu zabezpečenému přístupu, nastavíte tunel IPSec (Internet Protocol Security) mezi místním zařízením a koncovým bodem globálního zabezpečeného přístupu. Zadaný provoz se směruje přes tunel IPSec do nejbližšího koncového bodu globálního zabezpečeného přístupu. Zásady zabezpečení můžete použít v Centru pro správu Microsoft Entra.
Připojení ke vzdálené síti globálního zabezpečeného přístupu poskytuje zabezpečené řešení mezi vzdálenou sítí a službou Globální zabezpečený přístup. Neposkytuje zabezpečené připojení mezi jednou vzdálenou sítí a druhou. Další informace o zabezpečení vzdáleného síťového připojení ke vzdálené síti najdete v dokumentaci ke službě Azure Virtual WAN.
Proč je pro vás vzdálené připojení k síti důležité?
Udržování zabezpečení podnikové sítě je stále obtížnější ve světě práce na dálku a distribuovaných týmů. Security Service Edge (SSE) slibuje svět zabezpečení, kde zákazníci mají přístup ke svým podnikovým prostředkům odkudkoli na světě, aniž by museli vracet provoz do ústředí.
Běžné scénáře vzdáleného připojení k síti
Nechci instalovat klienty na tisíce zařízení místně.
Obecně platí, že SSE se vynucuje instalací klienta na zařízení. Klient vytvoří tunel k nejbližšímu koncovému bodu SSE a přes něj směruje veškerý internetový provoz. Řešení SSE kontrolují provoz a vynucují zásady zabezpečení. Pokud vaši uživatelé nejsou mobilní a jsou založeni na fyzickém umístění pobočky, vzdálené síťové připojení pro toto umístění odebere bolest při instalaci klienta na každé zařízení. Celé umístění větve můžete propojit vytvořením tunelu IPSec mezi základním směrovačem pobočky a koncovým bodem globálního zabezpečeného přístupu.
Nemůžu nainstalovat klienty na všechna zařízení, která moje organizace vlastní.
Někdy se klienti nedají nainstalovat na všechna zařízení. Globální zabezpečený přístup v současné době poskytuje klientům pro Windows. Ale co Linux, sálové počítače, kamery, tiskárny a další typy zařízení, která jsou místně a odesílají provoz na internet? Tento provoz je stále potřeba monitorovat a zabezpečit. Když připojíte vzdálenou síť, můžete nastavit zásady pro veškerý provoz z tohoto umístění bez ohledu na zařízení, odkud pochází.
Mám hosty v síti, kteří nemají nainstalovaného klienta.
Hostovaná zařízení ve vaší síti nemusí mít nainstalovaného klienta. Pokud chcete zajistit, aby tato zařízení dodržovala vaše zásady zabezpečení sítě, potřebujete jejich provoz směrovaný přes globální koncový bod zabezpečeného přístupu. Tento problém řeší vzdálené připojení k síti. Na zařízeních hostů není potřeba instalovat žádné klienty. Veškerý odchozí provoz ze vzdálené sítě ve výchozím nastavení prochází vyhodnocením zabezpečení.
Kolik šířky pásma se přidělí na tenanta
Celková šířka pásma, která vám je přidělená, je určena počtem zakoupených licencí. Každá licence Microsoft Entra ID P1, licence Microsoft Entra Internet Access nebo licence Microsoft Entra Suite přispívá k celkové šířce pásma. Šířku pásma vzdálených sítí je možné přiřadit tunelům IPsec v přírůstcích po 250 Mb/s, 500 Mb/s, 750 Mb/s nebo 1000 Mb/s. Tato flexibilita umožňuje přidělit šířku pásma různým vzdáleným síťovým umístěním podle vašich konkrétních potřeb. Pro zajištění optimálního výkonu microsoft doporučuje nakonfigurovat alespoň dva tunely IPsec pro každé umístění pro zajištění vysoké dostupnosti. Následující tabulka podrobně popisuje celkovou šířku pásma na základě počtu zakoupených licencí.
Přidělení šířky pásma vzdálené sítě
| Počet licencí | Celková šířka pásma (Mb/s) |
|---|---|
| 50 – 99 | 500 Mb/s |
| 100 – 499 | 1 000 Mb/s |
| 500 – 999 | 2 000 Mb/s |
| 1,000 – 1,499 | 3 500 Mb/s |
| 1,500 – 1,999 | 4 000 Mb/s |
| 2,000 – 2,499 | 4 500 Mb/s |
| 2,500 – 2,999 | 5 000 Mb/s |
| 3,000 – 3,499 | 5 500 Mb/s |
| 3,500 – 3,999 | 6 000 Mb/s |
| 4,000 – 4,499 | 6 500 Mb/s |
| 4,500 – 4,999 | 7 000 Mb/s |
| 5,000 – 5,499 | 10 000 Mb/s |
| 5,500 – 5,999 | 10 500 Mb/s |
| 6,000 – 6,499 | 11 000 Mb/s |
| 6,500 – 6,999 | 11 500 Mb/s |
| 7,000 – 7,499 | 12 000 Mb/s |
| 7,500 – 7,999 | 12 500 Mb/s |
| 8,000 – 8,499 | 13 000 Mb/s |
| 8,500 – 8,999 | 13 500 Mb/s |
| 9,000 – 9,499 | 14 000 Mb/s |
| 9,500 – 9,999 | 14 500 Mb/s |
| 10,000 + | 35 000 Mb/s + |
poznámky k tabulce
- Minimální počet licencí pro použití funkce vzdáleného připojení k síti je 50.
- Počet licencí se rovná celkovému počtu zakoupených licencí (Entra ID P1 + Entra Internet Access /Entra Suite). Po 10 000 licencích získáte dalších 500 Mb/s pro každých 500 zakoupených licencí (například 11 000 licencí = 36 000 Mb/s).
- Organizace, které překračují značku 10 000 licencí, často pracují v podnikovém měřítku a vyžadují robustnější infrastrukturu. Přechod na 35 000 Mb/s zajišťuje větší kapacitu pro splnění požadavků těchto nasazení, podporu vyšších objemů provozu a zajištění flexibility pro rozšíření přidělení šířky pásma podle potřeby.
- Pokud je vyžadována větší šířka pásma, bude k dispozici další šířka pásma k nákupu.
Příklady přidělené šířky pásma na tenanta:
Tenant 1:
- 1 000 licencí Entra ID P1
- Přiděleno: 1 000 licencí, 3 500 Mb/s
Tenant 2:
- 3 000 licencí Entra ID P1
- 3 000 licencí pro Internet Access
- Přiděleno: 6 000 licencí, 11 000 Mb/s
Tenant 3:
- 8 000 licencí Entra ID P1
- 6 000 licencí Entra Suite
- Přiděleno: 14 000 licencí, 39 000 Mb/s
Příklady distribuce šířky pásma pro vzdálené sítě
Tenant 1:
Celková šířka pásma: 3 500 Mb/s
Příděl:
- Lokalita A: 2 tunely IPsec: 2 x 250 Mbps = 500 Mbps
- Lokalita B: 2 tunely IPsec: 2 x 250 Mbps = 500 Mbps
- Lokalita C: 2 IPsec tunely: 2 x 500 Mbps = 1 000 Mbps
- Stránka D: 2 tunely IPsec: 2 x 750 Mbps = 1 500 Mbps
Zbývající šířka pásma: Žádná
Nájemce 2:
Celková šířka pásma: 11 000 Mb/s
Příděl:
- Lokalita A: 2 tunely IPsec: 2 x 250 Mb/s = 500 Mb/s
- Lokalita B: 2 IPsec tunely: 2 x 500 Mbps = 1 000 Mbps
- Lokalita C: 2 tunely IPsec: 2 x 750 Mbps = 1 500 Mbps
- Site D: 2 IPsec tunely: 2 × 1 000 Mbps = 2 000 Mbps
- Lokalita E: 2 tunely IPsec: 2 x 1 000 Mb/s = 2 000 Mb/s
Zbývající šířka pásma: 4 000 Mb/s
Tenant 3:
Celková šířka pásma: 39 000 Mb/s
Příděl:
- Místo A: 2 tunely IPsec: 2 x 250 Mbit/s = 500 Mbit/s
- Stránka B: 2 tunely IPsec: 2 x 500 Mbps = 1 000 Mbps
- Lokalita C: 2 tunely IPsec: 2 x 750 Mbps = 1,500 Mbps
- Lokalita D: 2 tunely IPsec: 2 x 750 Mbps = 1 500 Mbps
- Stránka E: 2 tunely IPsec: 2 x 1 000 Mbps = 2 000 Mbps
- Lokalita F: 2 tunely IPsec: 2 x 1 000 Mbps = 2 000 Mbps
- Site G: 2 tunely IPsec: 2 x 1 000 Mb/s = 2 000 Mb/s
Zbývající šířka pásma: 28 500 Mb/s