Vereisten voor netwerkversleuteling definiëren

In deze sectie worden belangrijke aanbevelingen besproken voor het bereiken van netwerkversleuteling tussen on-premises en Azure, evenals tussen Azure-regio's.

Ontwerpoverwegingen

• Kosten en beschikbare bandbreedte zijn omgekeerd evenredig met de lengte van de versleutelingstunnel tussen eindpunten.

• Azure Virtual Network-versleuteling verbetert de bestaande versleutelingsmogelijkheden in Azure en maakt naadloze verkeersversleuteling en ontsleuteling mogelijk tussen virtuele machines (VM's) en schaalsets voor virtuele machines.

• Wanneer u een VPN gebruikt om verbinding te maken met Azure, wordt verkeer via internet versleuteld via IPsec-tunnels.

• Wanneer u Azure ExpressRoute gebruikt met persoonlijke peering, wordt verkeer momenteel niet versleuteld.

• Het is mogelijk om een site-naar-site-VPN-verbinding te configureren via persoonlijke ExpressRoute-peering.

• U kunt MACsec-versleuteling (Media Access Control Security) toepassen op ExpressRoute Direct om netwerkversleuteling te bereiken.

• Wanneer Azure-verkeer tussen datacenters wordt verplaatst (buiten fysieke grenzen die niet worden beheerd door Microsoft of namens Microsoft), wordt MACsec-gegevenskoppelingslaagversleuteling gebruikt op de onderliggende netwerkhardware. Dit is van toepassing op peeringverkeer van virtuele netwerken.

Ontwerpaanaanvelingen

Afbeelding 1: Versleutelingsstromen.

• Wanneer u VPN-verbindingen maakt van on-premises naar Azure met behulp van VPN-gateways, wordt verkeer versleuteld op protocolniveau via IPsec-tunnels. In het voorgaande diagram ziet u deze versleuteling in stroom A.

• Als u VM-naar-VM-verkeer in hetzelfde virtuele netwerk of in regionale of globale gekoppelde virtuele netwerken wilt versleutelen, gebruikt u Virtual Network-versleuteling.

• Wanneer u ExpressRoute Direct gebruikt, configureert u MACsec om verkeer te versleutelen op Laag 2 tussen de routers van uw organisatie en MSEE. Het diagram toont deze versleuteling in stroom B.

• Voor Virtual WAN-scenario's waarbij MACsec geen optie is (bijvoorbeeld niet met ExpressRoute Direct), gebruikt u een Virtual WAN VPN-gateway om IPsec-tunnels tot stand te brengen via persoonlijke ExpressRoute-peering. Het diagram toont deze versleuteling in stroom C.

• Voor niet-Virtual WAN-scenario's en waarbij MACsec geen optie is (bijvoorbeeld niet met ExpressRoute Direct), zijn de enige opties:

  • Gebruik partner-NVA's om IPsec-tunnels tot stand te brengen via persoonlijke ExpressRoute-peering.
  • Maak een VPN-tunnel via ExpressRoute met Microsoft-peering.
  • Evalueer de mogelijkheid om een site-naar-site-VPN-verbinding te configureren via persoonlijke ExpressRoute-peering.

• Als systeemeigen Azure-oplossingen (zoals weergegeven in stromen B en C in het diagram) niet voldoen aan uw vereisten, gebruikt u partner-NVA's in Azure om verkeer via persoonlijke ExpressRoute-peering te versleutelen.