Comprendre la connectivité réseau distant
L’Accès global sécurisé prend en charge deux options de connectivité : l’installation d’un client sur l’appareil de l’utilisateur final et la configuration d’un réseau distant, par exemple un emplacement de branche avec un routeur physique. La connectivité réseau à distance simplifie la façon dont vos utilisateurs finaux et invités se connectent à partir d’un réseau distant sans avoir à installer le client de Global Secure Access.
Cet article décrit les concepts clés de la connectivité réseau à distance ainsi que les scénarios courants où cela est utile.
Qu’est-ce qu’un réseau distant ?
Les réseaux distants sont des emplacements distants ou des réseaux qui nécessitent une connectivité Internet. Par exemple, de nombreuses organisations ont un siège social central et des filiales dans différentes zones géographiques. Ces filiales ont besoin d’accéder aux données et services d’entreprise. Elles ont besoin d’un moyen sécurisé de communiquer avec le centre de données, le siège social et les travailleurs à distance. La sécurité des réseaux distants est cruciale pour de nombreux types d’organisations.
Les réseaux distants, tels qu’un emplacement de branche, sont généralement connectés au réseau d’entreprise via un réseau étendu dédié (WAN) ou une connexion de réseau privé virtuel (VPN). Les employés de l’emplacement de branche se connectent au réseau à l’aide de l’équipement local du client (CPE).
Défis actuels de la sécurité des réseaux distants
Les besoins en bande passante ont augmenté – Le nombre d’appareils nécessitant un accès à Internet augmente de façon exponentielle. Les réseaux traditionnels sont difficiles à mettre à l’échelle. Avec l’avènement des applications SaaS (Software as a Service) comme Microsoft 365, les demandes ne cessent d’augmenter pour des communications à faible latence et sans gigue pour lesquelles les technologies traditionnelles telles que le réseau étendu (WAN) et la commutation d’étiquettes multiprotocole (MPLS) rencontrent des difficultés.
Les équipes informatiques sont coûteuses : en règle générale, les pare-feu sont placés sur des appareils physiques locaux, ce qui nécessite une équipe informatique pour leur installation et leur maintenance. Gérer une équipe informatique à chaque emplacement de branche est coûteux.
Menaces en constante évolution : les intervenants malveillants trouvent de nouvelles façons d’attaquer les appareils à la périphérie des réseaux. Les appareils périphériques dans les filiales ou même les bureaux à domicile sont souvent le point d’attaque le plus vulnérable.
Comment fonctionne la connectivité réseau à distance Global Secure Access ?
Pour connecter un réseau distant à Global Secure Access, configurez un tunnel IPSec (Internet Protocol Security) entre votre équipement local et le point de terminaison Global Secure Access. Le trafic que vous spécifiez est acheminé via le tunnel IPSec vers le point de terminaison Global Secure Access le plus proche. Vous pouvez appliquer des stratégies de sécurité dans le centre d’administration Microsoft Entra.
La connectivité réseau à distance Global Secure Access fournit une solution sécurisée entre un réseau distant et le service Global Secure Access. Elle ne fournit pas de connexion sécurisée entre un réseau distant et un autre. Pour en savoir plus sur la connectivité sécurisée entre deux réseaux distants, consultez la documentation d’Azure Virtual WAN.
Pourquoi la connectivité réseau à distance est importante pour vous ?
Il est de plus en plus difficile de maintenir la sécurité d’un réseau d’entreprise dans un monde de travail à distance et d’équipes distribuées. Security Service Edge (SSE) promet un monde de sécurité où les clients peuvent accéder à leurs ressources d’entreprise n’importe où dans le monde sans avoir à renvoyer leur trafic au siège social.
Scénarios courants de connectivité réseau à distance
Je ne souhaite pas installer de clients sur des milliers d’appareils locaux.
En règle générale, SSE est appliqué en installant un client sur un appareil. Le client crée un tunnel vers le point de terminaison SSE le plus proche et y achemine tout le trafic Internet. Les solutions SSE inspectent le trafic et appliquent des stratégies de sécurité. Si vos utilisateurs ne se déplacent pas et sont basés sur un emplacement de branche physique, la connectivité réseau à distance pour cet emplacement de branche vous évite de devoir installer un client sur chaque appareil. Vous pouvez connecter l’intégralité de l’emplacement de la branche en créant un tunnel IPSec entre le routeur principal de la filiale et le point de terminaison Global Secure Access.
Je ne peux pas installer de clients sur tous les appareils de mon organisation.
Parfois, les clients ne peuvent pas être installés sur tous les appareils. Global Secure Access fournit actuellement des clients pour Windows. Mais qu’en est-il de Linux, des ordinateurs centraux, des caméras, des imprimantes et des autres types d’appareils présents sur site et qui envoient du trafic vers Internet ? Ce trafic doit être surveillé et sécurisé. Lorsque vous connectez un réseau distant, vous pouvez définir des stratégies pour tout le trafic à partir de cet emplacement, quel que soit l’appareil d’origine.
J’ai des invités sur mon réseau qui n’ont pas le client installé.
Le client n'est peut-être pas installé sur les appareils invités de votre réseau. Pour vous assurer que ces appareils adhèrent à vos stratégies de sécurité réseau, il faut que leur trafic soit acheminé via le point de terminaison Global Secure Access. La connectivité réseau à distance résout ce problème. Aucun client n’a besoin d’être installé sur les appareils invités. Tout le trafic sortant du réseau distant passe par une évaluation de sécurité par défaut.
Quantité de bande passante allouée par locataire
La bande passante totale que vous avez allouée est déterminée par le nombre de licences achetées. Chaque licence Microsoft Entra ID P1, licence Microsoft Entra Internet Access ou licence Microsoft Entra Suite contribue à votre bande passante totale. La bande passante pour les réseaux distants peut être affectée à des tunnels IPsec par incréments de 250 Mbits/s, de 500 Mbits/s, de 750 Mbits/s ou de 1 000 Mbits/s. Cette flexibilité vous permet d’allouer de la bande passante à différents emplacements réseau distants en fonction de vos besoins spécifiques. Pour des performances optimales, Microsoft recommande de configurer au moins deux tunnels IPsec par emplacement pour la haute disponibilité. Le tableau ci-dessous détaille la bande passante totale en fonction du nombre de licences achetées.
Allocation de bande passante réseau distante
| Nombre de licences | Bande passante totale (Mbits/s) |
|---|---|
| 50 – 99 | 500 Mbits/s |
| 100 – 499 | 1 000 Mbits/s |
| 500 – 999 | 2 000 Mbits/s |
| 1,000 – 1,499 | 3 500 Mbits/s |
| 1,500 – 1,999 | 4 000 Mbits/s |
| 2,000 – 2,499 | 4 500 Mbits/s |
| 2,500 – 2,999 | 5 000 Mbits/s |
| 3,000 – 3,499 | 5 500 Mbits/s |
| 3,500 – 3,999 | 6 000 Mbits/s |
| 4,000 – 4,499 | 6 500 Mbits/s |
| 4,500 – 4,999 | 7 000 Mbits/s |
| 5,000 – 5,499 | 10 000 Mbits/s |
| 5,500 – 5,999 | 10 500 Mbits/s |
| 6,000 – 6,499 | 11 000 Mbits/s |
| 6,500 – 6,999 | 11 500 Mbits/s |
| 7,000 – 7,499 | 12 000 Mbits/s |
| 7,500 – 7,999 | 12 500 Mbits/s |
| 8,000 – 8,499 | 13 000 Mbits/s |
| 8,500 – 8,999 | 13 500 Mbits/s |
| 9,000 – 9,499 | 14 000 Mbits/s |
| 9,500 – 9,999 | 14 500 Mbits/s |
| 10 000 + | 35 000 Mbits/s + |
Notes de tableau
- Le nombre minimal de licences permettant d’utiliser la fonctionnalité de connectivité réseau distante est de 50.
- Le nombre de licences est égal au nombre total de licences achetées (Entra ID P1 + Entra Internet Access /Entra Suite). Après 10 000 licences, vous obtenez 500 Mbits/s supplémentaires pour chaque 500 licences achetées (par exemple, 11 000 licences = 36 000 Mbits/s).
- Les organisations qui franchissent la marque de 10 000 licences fonctionnent souvent à l’échelle de l’entreprise nécessitant une infrastructure plus robuste. Le passage à 35 000 Mbits/s garantit une capacité suffisante pour répondre aux demandes de ces déploiements, prendre en charge des volumes de trafic plus élevés et offrir la flexibilité nécessaire pour étendre les allocations de bande passante en fonction des besoins.
- Si davantage de bande passante est nécessaire, une bande passante supplémentaire sera disponible pour l’achat.
Exemples de bande passante allouée par locataire :
Locataire 1 :
- 1 000 licences Entra ID P1
- Alloué : 1 000 licences, 3 500 Mbits/s
Locataire 2 :
- 3 000 licences Entra ID P1
- 3 000 licences d’accès à Internet
- Alloué : 6 000 licences, 11 000 Mbits/s
Locataire 3 :
- 8 000 licences Entra ID P1
- 6 000 licences Entra Suite
- Alloué : 14 000 licences, 39 000 Mbits/s
Exemples de distribution de bande passante pour les réseaux distants
Locataire 1 :
Bande passante totale : 3 500 Mbits/s
Allocation :
- Site A : 2 tunnels IPsec : 2 x 250 Mbits/s = 500 Mbits/s
- Site B : 2 tunnels IPsec : 2 x 250 Mbits/s = 500 Mbits/s
- Site C : 2 tunnels IPsec : 2 x 500 Mbits/s = 1 000 Mbits/s
- Site D : 2 tunnels IPsec : 2 x 750 Mbits/s = 1 500 Mbits/s
Bande passante restante : Aucun
Locataire 2 :
Bande passante totale : 11 000 Mbits/s
Allocation :
- Site A : 2 tunnels IPsec : 2 x 250 Mbits/s = 500 Mbits/s
- Site B : 2 tunnels IPsec : 2 x 500 Mbits/s = 1 000 Mbits/s
- Site C : 2 tunnels IPsec : 2 x 750 Mbits/s = 1 500 Mbits/s
- Site D : 2 tunnels IPsec : 2 x 1 000 Mbits/s = 2 000 Mbits/s
- Site E : 2 tunnels IPsec : 2 x 1 000 Mbits/s = 2 000 Mbits/s
Bande passante restante : 4 000 Mbits/s
Locataire 3 :
Bande passante totale : 39 000 Mbits/s
Allocation :
- Site A : 2 tunnels IPsec : 2 x 250 Mbits/s = 500 Mbits/s
- Site B : 2 tunnels IPsec : 2 x 500 Mbits/s = 1 000 Mbits/s
- Site C : 2 tunnels IPsec : 2 x 750 Mbits/s = 1 500 Mbits/s
- Site D : 2 tunnels IPsec : 2 x 750 Mbits/s = 1 500 Mbits/s
- Site E : 2 tunnels IPsec : 2 x 1 000 Mbits/s = 2 000 Mbits/s
- Site F : 2 tunnels IPsec : 2 x 1 000 Mbits/s = 2 000 Mbits/s
- Site G : 2 tunnels IPsec : 2 x 1 000 Mbits/s = 2 000 Mbits/s
Bande passante restante : 28 500 Mbits/s