Inzicht in externe netwerkconnectiviteit
Global Secure Access ondersteunt twee connectiviteitsopties: het installeren van een client op een apparaat van de eindgebruiker en het configureren van een extern netwerk, bijvoorbeeld een vertakkingslocatie met een fysieke router. Externe netwerkconnectiviteit stroomlijnt de manier waarop uw eindgebruikers en gasten verbinding maken vanuit een extern netwerk zonder dat u de Global Secure Access-client hoeft te installeren.
In dit artikel worden de belangrijkste concepten van externe netwerkconnectiviteit beschreven, samen met veelvoorkomende scenario's waarin dit nuttig is.
Wat is een extern netwerk?
Externe netwerken zijn externe locaties of netwerken waarvoor internetverbinding is vereist. Veel organisaties hebben bijvoorbeeld een centraal hoofdkantoor en filialen in verschillende geografische gebieden. Deze filialen hebben toegang nodig tot bedrijfsgegevens en -services. Ze hebben een veilige manier nodig om te communiceren met het datacenter, hoofdkantoor en externe werknemers. De beveiliging van externe netwerken is van cruciaal belang voor veel soorten organisaties.
Externe netwerken, zoals een vertakkingslocatie, zijn doorgaans verbonden met het bedrijfsnetwerk via een toegewezen WAN (Wide Area Network) of een VPN-verbinding (Virtual Private Network). Werknemers op de locatie van de vertakking maken verbinding met het netwerk met behulp van de apparatuur van de klant (CPE).
Huidige uitdagingen van externe netwerkbeveiliging
Bandbreedtevereisten zijn toegenomen : het aantal apparaten dat internettoegang vereist, neemt exponentieel toe. Traditionele netwerken zijn moeilijk te schalen. Met de komst van SaaS-toepassingen (Software as a Service), zoals Microsoft 365, zijn er steeds groeiende eisen van lage latentie en jitter-less communicatie waarmee traditionele technologieën zoals Wide Area Network (WAN) en Multi-Protocol Label Switching (MPLS) moeite hebben.
IT-teams zijn duur . Normaal gesproken worden firewalls op fysieke apparaten on-premises geplaatst. Hiervoor is een IT-team vereist voor installatie en onderhoud. Het onderhouden van een IT-team op elke vertakkingslocatie is duur.
Zich ontwikkelende bedreigingen : kwaadwillende actoren vinden nieuwe manieren om de apparaten aan de rand van netwerken aan te vallen. Edge-apparaten in filialen of zelfs thuiskantoren zijn vaak het kwetsbaarste aanvalspunt.
Hoe werkt global Secure Access remote network connectivity?
Als u een extern netwerk wilt verbinden met Global Secure Access, stelt u een IPSec-tunnel (Internet Protocol Security) in tussen uw on-premises apparatuur en het global Secure Access-eindpunt. Verkeer dat u opgeeft, wordt gerouteerd via de IPSec-tunnel naar het dichtstbijzijnde global Secure Access-eindpunt. U kunt beveiligingsbeleid toepassen in het Microsoft Entra-beheercentrum.
Global Secure Access remote network connectivity biedt een veilige oplossing tussen een extern netwerk en de Global Secure Access-service. Het biedt geen beveiligde verbinding tussen het ene externe netwerk en het andere. Zie de documentatie van Azure Virtual WAN voor meer informatie over beveiligde externe netwerk-naar-externe netwerkconnectiviteit.
Waarom is externe netwerkconnectiviteit belangrijk voor u?
Het onderhouden van de beveiliging van een bedrijfsnetwerk is steeds moeilijker in een wereld van extern werk en gedistribueerde teams. Security Service Edge (SSE) belooft een beveiligingswereld waar klanten overal ter wereld toegang hebben tot hun bedrijfsbronnen zonder dat ze hun verkeer naar het hoofdkantoor hoeven terug te halen.
Algemene scenario's voor externe netwerkconnectiviteit
Ik wil geen clients installeren op duizenden apparaten on-premises.
Over het algemeen wordt SSE afgedwongen door een client op een apparaat te installeren. De client maakt een tunnel naar het dichtstbijzijnde SSE-eindpunt en stuurt al het internetverkeer erdoor. SSE-oplossingen inspecteren het verkeer en dwingen beveiligingsbeleid af. Als uw gebruikers niet mobiel zijn en zich op een fysieke vertakkingslocatie bevinden, verwijdert u de pijn van het installeren van een client op elk apparaat via een externe netwerkverbinding voor die vertakkingslocatie. U kunt de hele vertakkingslocatie verbinden door een IPSec-tunnel te maken tussen de kernrouter van het filiaal en het eindpunt global Secure Access.
Ik kan geen clients installeren op alle apparaten die mijn organisatie bezit.
Soms kunnen clients niet op alle apparaten worden geïnstalleerd. Global Secure Access biedt momenteel clients voor Windows. Maar hoe zit het met Linux, mainframes, camera's, printers en andere soorten apparaten die on-premises zijn en verkeer naar internet verzenden? Dit verkeer moet nog steeds worden bewaakt en beveiligd. Wanneer u een extern netwerk verbindt, kunt u beleidsregels instellen voor al het verkeer vanaf die locatie, ongeacht het apparaat waar het vandaan komt.
Ik heb gasten op mijn netwerk die de client niet hebben geïnstalleerd.
Op gastapparaten in uw netwerk is de client mogelijk niet geïnstalleerd. Om ervoor te zorgen dat deze apparaten voldoen aan uw netwerkbeveiligingsbeleid, hebt u het verkeer nodig dat wordt gerouteerd via het global Secure Access-eindpunt. Externe netwerkconnectiviteit lost dit probleem op. Er hoeven geen clients te worden geïnstalleerd op gastapparaten. Al het uitgaande verkeer van het externe netwerk verloopt standaard door de beveiligingsevaluatie.
Hoeveel bandbreedte wordt toegewezen per tenant
De totale bandbreedte die u hebt toegewezen, wordt bepaald door het aantal aangeschafte licenties. Elke Microsoft Entra ID P1-licentie, Microsoft Entra Internet Access-licentie of Microsoft Entra Suite-licentie draagt bij aan uw totale bandbreedte. Bandbreedte voor externe netwerken kan worden toegewezen aan IPsec-tunnels in stappen van 250 Mbps, 500 Mbps, 750 Mbps of 1000 Mbps. Dankzij deze flexibiliteit kunt u bandbreedte toewijzen aan verschillende externe netwerklocaties op basis van uw specifieke behoeften. Voor optimale prestaties raadt Microsoft aan om ten minste twee IPsec-tunnels per locatie te configureren voor hoge beschikbaarheid. In de onderstaande tabel wordt de totale bandbreedte beschreven op basis van het aantal aangeschafte licenties.
Toewijzing van externe netwerkbandbreedte
| Aantal licenties | Totale bandbreedte (Mbps) |
|---|---|
| 50 – 99 | 500 Mbps |
| 100 – 499 | 1000 Mbps |
| 500 – 999 | 2000 Mbps |
| 1,000 – 1,499 | 3500 Mbps |
| 1,500 – 1,999 | 4000 Mbps |
| 2,000 – 2,499 | 4500 Mbps |
| 2,500 – 2,999 | 5000 Mbps |
| 3,000 – 3,499 | 5500 Mbps |
| 3,500 – 3,999 | 6000 Mbps |
| 4,000 – 4,499 | 6500 Mbps |
| 4,500 – 4,999 | 7000 Mbps |
| 5,000 – 5,499 | 10.000 Mbps |
| 5,500 – 5,999 | 10.500 Mbps |
| 6,000 – 6,499 | 11.000 Mbps |
| 6,500 – 6,999 | 11.500 Mbps |
| 7,000 – 7,499 | 12.000 Mbps |
| 7,500 – 7,999 | 12.500 Mbps |
| 8,000 – 8,499 | 13.000 Mbps |
| 8,500 – 8,999 | 13.500 Mbps |
| 9,000 – 9,499 | 14.000 Mbps |
| 9,500 – 9,999 | 14.500 Mbps |
| 10.000 + | 35.000 Mbps + |
tabel notities
- Het minimale aantal licenties voor het gebruik van de functie voor externe netwerkconnectiviteit is 50.
- Het aantal licenties is gelijk aan het totale aantal aangeschafte licenties (Entra ID P1 + Entra Internet Access /Entra Suite). Na 10.000 licenties krijgt u voor elke 500 licenties een extra 500 Mbps (bijvoorbeeld 11.000 licenties = 36.000 Mbps).
- Organisaties die het 10.000-licentiemerk overschrijden, werken vaak op ondernemingsniveau waarvoor een robuustere infrastructuur nodig is. De sprong naar 35.000 Mbps zorgt voor voldoende capaciteit om te voldoen aan de vereisten van dergelijke implementaties, het ondersteunen van hogere verkeersvolumes en het bieden van de flexibiliteit om zo nodig bandbreedtetoewijzingen uit te breiden.
- Als er meer bandbreedte is vereist, is er extra bandbreedte beschikbaar voor aankoop.
Voorbeelden van toegewezen bandbreedte per tenant:
Tenant 1:
- 1000 Entra ID P1-licenties
- Toegewezen: 1000 licenties, 3500 Mbps
Tenant 2:
- 3000 Entra ID P1-licenties
- 3000 licenties voor internettoegang
- Toegewezen: 6.000 licenties, 11.000 Mbps
Tenant 3:
- 8.000 Entra ID P1-licenties
- 6.000 Entra Suite-licenties
- Toegewezen: 14.000 licenties, 39.000 Mbps
Voorbeelden van bandbreedtedistributie voor externe netwerken
Tenant 1:
Totale bandbreedte: 3500 Mbps
Toewijzing:
- Site A: 2 IPsec-tunnels: 2 x 250 Mbps = 500 Mbps
- Site B: 2 IPsec-tunnels: 2 x 250 Mbps = 500 Mbps
- Site C: 2 IPsec-tunnels: 2 x 500 Mbps = 1.000 Mbps
- Site D: 2 IPsec-tunnels: 2 x 750 Mbps = 1500 Mbps
Resterende bandbreedte: geen
Tenant 2:
Totale bandbreedte: 11.000 Mbps
Toewijzing:
- Site A: 2 IPsec-tunnels: 2 x 250 Mbps = 500 Mbps
- Site B: 2 IPsec-tunnels: 2 x 500 Mbps = 1.000 Mbps
- Site C: 2 IPsec-tunnels: 2 x 750 Mbps = 1500 Mbps
- Site D: 2 IPsec-tunnels: 2 x 1.000 Mbps = 2.000 Mbps
- Site E: 2 IPsec-tunnels: 2 x 1.000 Mbps = 2.000 Mbps
Resterende bandbreedte: 4.000 Mbps
Tenant 3:
Totale bandbreedte: 39.000 Mbps
Toewijzing:
- Site A: 2 IPsec-tunnels: 2 x 250 Mbps = 500 Mbps
- Site B: 2 IPsec-tunnels: 2 x 500 Mbps = 1.000 Mbps
- Site C: 2 IPsec-tunnels: 2 x 750 Mbps = 1500 Mbps
- Site D: 2 IPsec-tunnels: 2 x 750 Mbps = 1500 Mbps
- Site E: 2 IPsec-tunnels: 2 x 1.000 Mbps = 2.000 Mbps
- Site F: 2 IPsec-tunnels: 2 x 1.000 Mbps = 2.000 Mbps
- Site G: 2 IPsec-tunnels: 2 x 1.000 Mbps = 2.000 Mbps
Resterende bandbreedte: 28.500 Mbps