Grundlegendes zur Remotenetzwerkkonnektivität
Globaler sicherer Zugriff unterstützt zwei Konnektivitätsoptionen: Die Installation eines Clients auf einem Endbenutzergerät und das Konfigurieren eines Remotenetzwerks, z. B. eines Zweigstellenstandorts mit einem physischen Router. Die Remotenetzwerkkonnektivität optimiert, wie Ihre Endbenutzer und Gäste eine Verbindung von einem Remotenetzwerk aus herstellen, ohne den Global Secure Access-Client installieren zu müssen.
In diesem Artikel werden die wichtigsten Konzepte der Remotenetzwerkkonnektivität zusammen mit gängigen Szenarien beschrieben, in denen sie nützlich sein kann.
Was ist ein Remotenetzwerk?
Remotenetzwerke sind Remotestandorte oder Netzwerke, die eine Internetverbindung erfordern. Beispielsweise verfügen viele Organisationen über einen Hauptsitz und Zweigstellenstandorte in verschiedenen geografischen Gebieten. Diese Zweigstellen benötigen Zugriff auf Unternehmensdaten und -dienste. Sie benötigen eine sichere Möglichkeit zur Kommunikation mit dem Rechenzentrum, dem Hauptsitz und den Remotemitarbeitern. Die Sicherheit von Remotenetzwerken ist für viele Arten von Organisationen von entscheidender Bedeutung.
Remotenetzwerke, z. B. ein Zweigstellenstandort, sind mit dem Unternehmensnetzwerk in der Regel über ein dediziertes WAN (Wide Area Network) oder eine VPN-Verbindung (Virtual Private Network) verbunden. Mitarbeiter am Zweigstellenstandort stellen mithilfe von CPE (Customer Premises Equipment) eine Verbindung mit dem Netzwerk her.
Aktuelle Herausforderungen für die Sicherheit von Remotenetzwerken
Bandbreitenanforderungen sind gestiegen – Die Anzahl der Geräte, die Internetzugriff benötigen, ist exponentiell gestiegen. Herkömmliche Netzwerke lassen sich nur schwer skalieren. Mit dem Aufkommen von Software-as-a-Service-Anwendungen (SaaS) wie Microsoft 365 gibt es ständig wachsende Anforderungen an eine niedrige Latenz und schwankungsfreie Kommunikation, mit der herkömmliche Technologien wie Wide Area Network (WAN) und Multi-Protocol Label Switching (MPLS) zu kämpfen haben.
IT-Teams sind teuer – In der Regel werden Firewalls lokal auf physischen Geräten platziert, wodurch ein IT-Team für Einrichtung und Wartung erforderlich wird. Ein IT-Team an jedem Zweigstellenstandort zu unterhalten ist teuer.
Sich entwickelnde Bedrohungen – Böswillige Akteure finden neue Möglichkeiten für Angriffe auf Geräte am Netzwerkedge. Edgegeräte in Zweigstellen oder sogar Home Office-Standorte sind oft die anfälligsten Angriffspunkte.
Wie funktioniert die Remotenetzwerkkonnektivität von Global Secure Access?
Um ein Remotenetzwerk mit Global Secure Access zu verbinden, richten Sie einen IPSec-Tunnel (Internet Protocol Security) zwischen Ihren lokalen Geräten und dem Global Secure Access-Endpunkt ein. Der von Ihnen angegebene Datenverkehr wird über den IPSec-Tunnel an den nächstgelegenen Global Secure Access-Endpunkt geroutet. Sie können Sicherheitsrichtlinien im Microsoft Entra Admin Center anwenden.
Die Remotenetzwerkkonnektivität von Global Secure Access bietet eine sichere Lösung zwischen einem Remotenetzwerk und dem Global Secure Access-Dienst. Sie bietet keine sichere Verbindung zwischen einem Remotenetzwerk und einem anderen. Weitere Informationen zur sicheren Remotenetzwerk-zu-Remotenetzwerk-Konnektivität finden Sie in der Dokumentation zu Azure Virtual WAN.
Warum ist die Remotenetzwerkkonnektivität für Sie wichtig?
Das Verwalten der Sicherheit eines Unternehmensnetzwerks wird in einer Welt mit Remotearbeit und verteilten Teams immer schwieriger. Security Service Edge (SSE) verspricht eine sichere Welt, in der Kunden von überall auf der Welt aus auf ihre Unternehmensressourcen zugreifen können, und zwar ohne einen Rücktransport des Datenverkehrs zum Hauptsitz.
Gängige Szenarien für Remotenetzwerkkonnektivität
Ich möchte nicht auf Tausenden von Geräten lokal Clients installieren.
Im Allgemeinen wird SSE erzwungen, indem ein Client auf einem Gerät installiert wird. Der Client erstellt einen Tunnel zum nächstgelegenen SSE-Endpunkt und routet den gesamten Internetdatenverkehr über diesen. SSE-Lösungen überprüfen den Datenverkehr und erzwingen Sicherheitsrichtlinien. Wenn Ihre Benutzer nicht mobil sind und sich an einem physischen Zweigstellenstandort befinden, entfällt durch die Remotenetzwerkkonnektivität für diesen Zweigstellenstandort der Aufwand, auf jedem Gerät einen Client zu installieren. Sie können den gesamten Zweigstellenstandort verbinden, indem Sie einen IPSec-Tunnel zwischen dem Kernrouter der Zweigstelle und dem Global Secure Access-Endpunkt erstellen.
Ich kann nicht auf allen Geräten, die meiner Organisation gehören, Clients installieren.
Manchmal können Clients nicht auf allen Geräten installiert werden. Global Secure Access stellt derzeit Clients für Windows bereit. Aber was ist mit Linux, Mainframes, Kameras, Druckern und anderen lokalen Gerätetypen, die Datenverkehr an das Internet senden? Dieser Datenverkehr muss weiterhin überwacht und geschützt werden. Wenn Sie eine Verbindung zu einem Remotenetzwerk herstellen, können Sie Richtlinien für den gesamten Datenverkehr von diesem Standort aus festlegen, unabhängig von dem Gerät, von dem er ausgeht.
In meinem Netzwerk gibt es Gäste, die den Client nicht installiert haben.
Auf Gastgeräten in Ihrem Netzwerk ist der Client möglicherweise nicht installiert. Um sicherzustellen, dass diese Geräte Ihren Netzwerksicherheitsrichtlinien entsprechen, müssen Sie ihren Datenverkehr über den Global Secure Access-Endpunkt routen. Die Remotenetzwerkkonnektivität löst dieses Problem. Auf Gastgeräten müssen keine Clients installiert werden. Der gesamte ausgehende Datenverkehr aus dem Remotenetzwerk durchläuft standardmäßig die Sicherheitsauswertung.
Wieviel Bandbreite wird pro Mandant zugewiesen?
Die gesamt zugewiesene Bandbreite wird durch die Anzahl der erworbenen Lizenzen bestimmt. Jede Microsoft Entra ID P1-Lizenz, Microsoft Entra Internet Access-Lizenz oder Microsoft Entra Suite-Lizenz trägt zur Gesamtbandbreite bei. Die Bandbreite für Remotenetzwerke kann IPsec-Tunneln in Schritten von 250 Mbps, 500 Mbps, 750 Mbps oder 1000 MBit/s zugewiesen werden. Diese Flexibilität ermöglicht es Ihnen, Bandbreite an verschiedenen Remotenetzwerkstandorten entsprechend Ihren spezifischen Anforderungen zuzuweisen. Für eine optimale Leistung empfiehlt Microsoft, mindestens zwei IPsec-Tunnel pro Standort für hohe Verfügbarkeit zu konfigurieren. In der folgenden Tabelle wird die Gesamtbandbreite basierend auf der Anzahl der erworbenen Lizenzen beschrieben.
Remote-Netzwerkbandbreitenzuweisung
| Anzahl der Lizenzen | Gesamtbandbreite (Mbps) |
|---|---|
| 50 – 99 | 500 MBit/s |
| 100 – 499 | 1.000 MBit/s |
| 500 – 999 | 2.000 MBit/s |
| 1,000 – 1,499 | 3.500 MBit/s |
| 1,500 – 1,999 | 4.000 MBit/s |
| 2,000 – 2,499 | 4.500 MBit/s |
| 2,500 – 2,999 | 5.000 MBit/s |
| 3,000 – 3,499 | 5.500 MBit/s |
| 3,500 – 3,999 | 6.000 MBit/s |
| 4,000 – 4,499 | 6.500 MBit/s |
| 4,500 – 4,999 | 7.000 MBit/s |
| 5,000 – 5,499 | 10.000 MBit/s |
| 5,500 – 5,999 | 10.500 Mb/s |
| 6,000 – 6,499 | 11.000 MBit/s |
| 6,500 – 6,999 | 11.500 MBit/s |
| 7,000 – 7,499 | 12.000 MBit/s |
| 7,500 – 7,999 | 12.500 Mbit/s |
| 8,000 – 8,499 | 13.000 MBit/s |
| 8,500 – 8,999 | 13.500 Mbps |
| 9,000 – 9,499 | 14.000 MBit/s |
| 9,500 – 9,999 | 14.500 MBit/s |
| Über 10.000 | 35.000 Mbit/s + |
Anmerkungen zur Tabelle
- Die Mindestanzahl der Lizenzen für die Nutzung der Funktion zur Netzwerkkonnektivität aus der Ferne beträgt 50.
- Die Anzahl der Lizenzen entspricht der Gesamtzahl der erworbenen Lizenzen (Entra ID P1 + Entra Internet Access /Entra Suite). Nach 10.000 Lizenzen erhalten Sie zusätzliche 500 MBit/s für jede weiteren 500 erworbenen Lizenzen (Beispiel: 11.000 Lizenzen = 36.000 MBit/s).
- Organisationen, die das 10.000-Lizenzzeichen überschreiten, funktionieren häufig im Unternehmensmaßstab, was eine robustere Infrastruktur erfordert. Der Sprung zu 35.000 MBit/s sorgt für ausreichend Kapazität, um die Anforderungen solcher Bereitstellungen zu erfüllen, höhere Datenverkehrsvolumen zu unterstützen und die Flexibilität zu bieten, Bandbreitenzuweisungen nach Bedarf zu erweitern.
- Wenn mehr Bandbreite erforderlich ist, steht zusätzliche Bandbreite zum Kauf zur Verfügung.
Beispiele für zugewiesene Bandbreite pro Mandant:
Mandant 1:
- 1.000 Entra ID P1 Lizenzen
- Zugewiesen: 1.000 Lizenzen, 3.500 MBit/s
Mandant 2:
- 3.000 Entra ID P1 Lizenzen
- 3.000 Internetzugriffslizenzen
- Zugewiesen: 6.000 Lizenzen, 11.000 MBit/s
Mandant 3:
- 8.000 Entra ID P1-Lizenzen
- 6.000 Entra Suite Lizenzen
- Zugewiesen: 14.000 Lizenzen, 39.000 MBit/s
Beispiele für die Bandbreitenverteilung für Remotenetzwerke
Mandant 1:
Gesamtbandbreite: 3.500 MBit/s
Zuteilung:
- Standort A: 2 IPsec-Tunnel: 2 x 250 Mbps = 500 Mbps
- Standort B: 2 IPsec-Tunnel: 2 x 250 Mbps = 500 MBit/s
- Standort C: 2 IPsec-Tunnel: 2 x 500 MBit/s = 1.000 MBit/s
- Standort D: 2 IPsec-Tunnel: 2 x 750 MBit/s = 1.500 MBit/s
Verbleibende Bandbreite: Keine
Mandant 2:
Gesamtbandbreite: 11.000 MBit/s
Zuteilung:
- Standort A: 2 IPsec-Tunnel: 2 x 250 Mbps = 500 Mbps
- Standort B: 2 IPsec-Tunnel: 2 x 500 MBit/s = 1.000 MBit/s
- Standort C: 2 IPsec-Tunnel: 2 x 750 MBit/s = 1.500 MBit/s
- Standort D: 2 IPsec-Tunnel: 2 x 1.000 MBit/s = 2.000 MBit/s
- Standort E: 2 IPsec-Tunnel: 2 x 1.000 MBit/s = 2.000 MBit/s
Verbleibende Bandbreite: 4.000 MBit/s
Mandant 3:
Gesamtbandbreite: 39.000 MBit/s
Zuteilung:
- Standort A: 2 IPsec-Tunnel: 2 x 250 Mbps = 500 Mbps
- Standort B: 2 IPsec-Tunnel: 2 x 500 MBit/s = 1.000 MBit/s
- Standort C: 2 IPsec-Tunnel: 2 x 750 MBit/s = 1.500 MBit/s
- Standort D: 2 IPsec-Tunnel: 2 x 750 MBit/s = 1.500 MBit/s
- Standort E: 2 IPsec-Tunnel: 2 x 1.000 MBit/s = 2.000 MBit/s
- Standort F: 2 IPsec-Tunnel: 2 x 1.000 MBit/s = 2.000 MBit/s
- Standort G: 2 IPsec-Tunnel: 2 x 1.000 MBit/s = 2.000 MBit/s
Verbleibende Bandbreite: 28.500 MBit/s