Definición de los requisitos de cifrado de red

En esta sección se analizan las recomendaciones clave para lograr el cifrado de red entre el entorno local y Azure, así como entre regiones de Azure.

Consideraciones de diseño

• El costo y el ancho de banda disponible son inversamente proporcionales a la longitud del túnel de cifrado entre los puntos de conexión.

• El cifrado de Azure Virtual Network mejora las funcionalidades de cifrado en tránsito existentes en Azure y permite un cifrado y descifrado de tráfico sin problemas entre máquinas virtuales y conjuntos de escalado de máquinas virtuales.

• Al usar una red privada virtual para conectarse a Azure, el tráfico se cifra a través de Internet mediante los túneles IPsec.

• Cuando se usa Azure ExpressRoute con el emparejamiento privado, actualmente el tráfico no se cifra.

• Es posible configurar una conexión VPN de sitio a sitio a través del emparejamiento privado de ExpressRoute.

• Puede aplicar el cifrado de Seguridad de control de acceso a medios (MACsec) a ExpressRoute Direct para lograr el cifrado de red.

• Cuando el tráfico de Azure se mueve entre centros de datos (fuera de los límites físicos no controlados por Microsoft o en nombre de Microsoft), se usa el cifrado de capa de vínculo de datos MACsec en el hardware de red subyacente. Esto es aplicable al tráfico de emparejamiento de red virtual.

Recomendaciones de diseño

Figura 1: Flujos de cifrado.

• Cuando establece conexiones VPN desde el entorno local a Azure mediante puertas de enlace VPN, el tráfico se cifra en un nivel de protocolo con túneles IPsec. En el diagrama anterior se muestra este cifrado en el flujo A.

• Si necesita cifrar el tráfico de máquina virtual a máquina virtual en la misma red virtual o entre redes virtuales regionales o globales emparejadas, use el cifrado de red virtual.

• Cuando use ExpressRoute Direct, configure MACsec para cifrar el tráfico en el nivel de la capa dos entre los enrutadores de la organización y MSEE. El diagrama muestra este cifrado en el flujo B.

• En el caso de escenarios de Virtual WAN en los que MACsec no sea una opción (por ejemplo, si no se usa ExpressRoute Direct), use la puerta de enlace VPN de Virtual WAN para establecer los túneles IPsec a través del emparejamiento privado de ExpressRoute. El diagrama muestra este cifrado en el flujo C.

• En el caso de escenarios donde no se use Virtual WAN y en los que MACsec no sea una opción (por ejemplo, donde no se utilice ExpressRoute Direct), las únicas opciones son las siguientes:

  • Use las aplicaciones virtuales de red de los asociados para establecer túneles IPsec a través del emparejamiento privado de ExpressRoute.
  • Establezca un túnel VPN sobre ExpressRoute con el emparejamiento de Microsoft.
  • Evalúe la funcionalidad para configurar una conexión VPN de sitio a sitio por medio del emparejamiento privado de ExpressRoute.

• Si las soluciones nativas de Azure (como se muestra en los flujos B y C en el diagrama) no satisfacen sus requisitos, use aplicaciones virtuales de red de un asociado de Azure para cifrar el tráfico a través del emparejamiento privado de ExpressRoute.