Omówienie łączności sieciowej zdalnej
Globalny bezpieczny dostęp obsługuje dwie opcje łączności: instalowanie klienta na urządzeniu użytkownika końcowego i konfigurowanie sieci zdalnej, na przykład lokalizacji gałęzi z routerem fizycznym. Łączność zdalna sieci usprawnia sposób łączenia użytkowników końcowych i gości z sieci zdalnej bez konieczności instalowania globalnego klienta bezpiecznego dostępu.
W tym artykule opisano kluczowe pojęcia dotyczące łączności sieciowej zdalnej wraz z typowymi scenariuszami, w których jest to przydatne.
Co to jest sieć zdalna?
Sieci zdalne to zdalne lokalizacje lub sieci wymagające łączności z Internetem. Na przykład wiele organizacji ma centralną siedzibę i lokalizacje oddziałów w różnych obszarach geograficznych. Te oddziały potrzebują dostępu do danych i usług firmowych. Potrzebują bezpiecznego sposobu rozmowy z centrum danych, siedzibą i pracownikami zdalnymi. Bezpieczeństwo sieci zdalnych ma kluczowe znaczenie dla wielu typów organizacji.
Sieci zdalne, takie jak lokalizacja gałęzi, są zwykle połączone z siecią firmową za pośrednictwem dedykowanej sieci rozległej (WAN) lub połączenia wirtualnej sieci prywatnej (VPN). Pracownicy w lokalizacji oddziału łączą się z siecią przy użyciu sprzętu lokalnego klienta (CPE).
Bieżące wyzwania związane z zabezpieczeniami sieci zdalnej
Wymagania dotyczące przepustowości wzrosły — liczba urządzeń wymagających dostępu do Internetu zwiększa się wykładniczo. Tradycyjne sieci są trudne do skalowania. Wraz z pojawieniem się aplikacji typu Oprogramowanie jako usługa (SaaS), takich jak Platforma Microsoft 365, coraz większe zapotrzebowanie na komunikację o małych opóźnieniach i zakłóceniach, z którymi zmagają się tradycyjne technologie, takie jak Wide Area Network (WAN) i multi-Protocol Label Switching (MPLS).
Zespoły IT są kosztowne — zazwyczaj zapory są umieszczane na urządzeniach fizycznych lokalnie, co wymaga zespołu IT do konfigurowania i konserwacji. Utrzymanie zespołu IT w każdej lokalizacji oddziału jest kosztowne.
Zmieniające się zagrożenia — złośliwi aktorzy znajdują nowe sposoby ataku na urządzenia na skraju sieci. Urządzenia brzegowe w biurach oddziałów, a nawet biura domowe są często najbardziej podatnym punktem ataku.
Jak działa globalna łączność sieci zdalnej bezpiecznego dostępu?
Aby połączyć sieć zdalną z globalnym bezpiecznym dostępem, należy skonfigurować tunel zabezpieczeń protokołu internetowego (IPSec) między sprzętem lokalnym i punktem końcowym globalnego bezpiecznego dostępu. Określony ruch jest kierowany przez tunel IPSec do najbliższego globalnego punktu końcowego bezpiecznego dostępu. Zasady zabezpieczeń można stosować w centrum administracyjnym firmy Microsoft Entra.
Global Secure Access zdalna łączność sieciowa zapewnia bezpieczne rozwiązanie między siecią zdalną a globalną usługą bezpiecznego dostępu. Nie zapewnia bezpiecznego połączenia między jedną siecią zdalną a drugą. Aby dowiedzieć się więcej o bezpiecznej łączności zdalnej między sieciami zdalnymi, zobacz dokumentację usługi Azure Virtual WAN.
Dlaczego łączność sieci zdalnej jest dla Ciebie ważna?
Utrzymanie bezpieczeństwa sieci firmowej jest coraz trudniejsze w świecie pracy zdalnej i rozproszonych zespołów. Usługa Security Service Edge (SSE) obiecuje świat zabezpieczeń, w którym klienci mogą uzyskiwać dostęp do swoich zasobów firmowych z dowolnego miejsca na świecie bez konieczności wycofywania ruchu do siedziby firmy.
Typowe scenariusze łączności sieciowej zdalnej
Nie chcę instalować klientów na tysiącach urządzeń lokalnych.
Ogólnie rzecz biorąc, funkcja SSE jest wymuszana przez zainstalowanie klienta na urządzeniu. Klient tworzy tunel do najbliższego punktu końcowego SSE i kieruje przez niego cały ruch internetowy. Rozwiązania SSE sprawdzają ruch i wymuszają zasady zabezpieczeń. Jeśli użytkownicy nie są urządzeniami przenośnymi i bazą w fizycznej lokalizacji gałęzi, łączność sieci zdalnej dla tej lokalizacji gałęzi usuwa ból instalowania klienta na każdym urządzeniu. Całą lokalizację gałęzi można połączyć, tworząc tunel IPSec między routerem podstawowym oddziału i punktem końcowym globalnego bezpiecznego dostępu.
Nie mogę zainstalować klientów na wszystkich urządzeniach, które jest właścicielem mojej organizacji.
Czasami klienci nie mogą być instalowani na wszystkich urządzeniach. Globalny bezpieczny dostęp zapewnia obecnie klientów dla systemu Windows. Ale co z systemem Linux, komputerami mainframe, aparatami fotograficznymi, drukarkami i innymi typami urządzeń, które znajdują się lokalnie i wysyłają ruch do Internetu? Ten ruch nadal musi być monitorowany i zabezpieczony. Po połączeniu sieci zdalnej można ustawić zasady dla całego ruchu z tej lokalizacji niezależnie od tego, skąd pochodzi.
Mam gości w mojej sieci, którzy nie mają zainstalowanego klienta.
Urządzenia-gościa w sieci mogą nie mieć zainstalowanego klienta. Aby upewnić się, że te urządzenia są zgodne z zasadami zabezpieczeń sieci, potrzebny jest ruch kierowany przez globalny punkt końcowy bezpiecznego dostępu. Zdalna łączność sieciowa rozwiązuje ten problem. Na urządzeniach gości nie trzeba instalować żadnych klientów. Cały ruch wychodzący z sieci zdalnej jest domyślnie przechodzi przez ocenę zabezpieczeń.
Jaka przepustowość zostanie przydzielona na najemcę
Przydzielona przepustowość jest określana przez liczbę zakupionych licencji. Każda licencja microsoft Entra ID P1, licencja microsoft Entra Internet Access lub licencja microsoft Entra Suite przyczynia się do całkowitej przepustowości. Przepustowość dla sieci zdalnych można przypisać do tuneli IPsec w przyrostach 250 Mb/s, 500 Mb/s, 750 Mb/s lub 1000 Mb/s. Ta elastyczność umożliwia przydzielanie przepustowości do różnych zdalnych lokalizacji sieciowych zgodnie z określonymi potrzebami. Aby uzyskać optymalną wydajność, firma Microsoft zaleca skonfigurowanie co najmniej dwóch tuneli IPsec na lokalizację w celu zapewnienia wysokiej dostępności. W poniższej tabeli przedstawiono łączną przepustowość na podstawie liczby zakupionych licencji.
Alokacja przepustowości sieci zdalnej
Liczba licencji | Łączna przepustowość (Mb/s) |
---|---|
50 – 99 | 500 Mb/s |
100 – 499 | 1000 Mb/s |
500 – 999 | 2000 Mb/s |
1,000 – 1,499 | 3500 Mb/s |
1,500 – 1,999 | 4000 Mb/s |
2,000 – 2,499 | 4500 Mb/s |
2,500 – 2,999 | 5000 Mb/s |
3,000 – 3,499 | 5500 Mb/s |
3,500 – 3,999 | 6000 Mb/s |
4,000 – 4,499 | 6500 Mb/s |
4,500 – 4,999 | 7000 Mb/s |
5,000 – 5,499 | 10 000 Mb/s |
5,500 – 5,999 | 10 500 Mb/s |
6,000 – 6,499 | 11 000 Mb/s |
6,500 – 6,999 | 11 500 Mb/s |
7,000 – 7,499 | 12 000 Mb/s |
7,500 – 7,999 | 12 500 Mb/s |
8,000 – 8,499 | 13 000 Mb/s |
8,500 – 8,999 | 13 500 Mb/s |
9,000 – 9,499 | 14 000 Mb/s |
9,500 – 9,999 | 14 500 Mb/s |
10,000 + | 35 000 Mb/s + |
Notatek tabeli
- Minimalna liczba licencji do korzystania z funkcji łączności sieciowej zdalnej wynosi 50.
- Liczba licencji jest równa całkowitej liczbie zakupionych licencji (Entra ID P1 + Entra Internet Access /Entra Suite). Po 10 000 licencjach uzyskasz dodatkowe 500 Mb/s dla każdego zakupionego 500 licencji (na przykład 11 000 licencji = 36 000 Mb/s).
- Organizacje przekraczające 10 000 licencji często działają w skali przedsiębiorstwa wymagającej bardziej niezawodnej infrastruktury. Skok do 35 000 Mb/s zapewnia dużą pojemność, aby sprostać wymaganiom takich wdrożeń, obsługując większe ilości ruchu i zapewniając elastyczność rozszerzania alokacji przepustowości zgodnie z potrzebami.
- Jeśli wymagana jest większa przepustowość, dodatkowa przepustowość będzie dostępna do zakupu.
Przykłady przydzielonej przepustowości dla najemcy:
Najemca 1:
- 1000 licencji Entra ID P1
- Przydzielone: 1000 licencji, 3500 Mb/s
Najemca 2:
- 3000 licencji Entra ID P1
- 3000 licencji programu Internet Access
- Przydzielone: 6000 licencji, 11 000 Mb/s
Najemca 3:
- 8000 licencji Entra ID P1
- 6000 licencji pakietu Entra Suite
- Przydzielone: 14 000 licencji, 39 000 Mb/s
Przykłady dystrybucji przepustowości dla sieci zdalnych
Najemca 1:
Łączna przepustowość: 3500 Mb/s
Przydział:
- Lokacja A: 2 tunele IPsec: 2 x 250 Mb/s = 500 Mb/s
- Lokacja B: 2 tunele IPsec: 2 x 250 Mb/s = 500 Mb/s
- Lokacja C: 2 tunele IPsec: 2 x 500 Mb/s = 1000 Mb/s
- Lokacja D: 2 tunele IPsec: 2 x 750 Mb/s = 1500 Mb/s
Pozostała przepustowość: Brak
Najemca 2:
Łączna przepustowość: 11 000 Mb/s
Przydział:
- Lokacja A: 2 tunele IPsec: 2 x 250 Mb/s = 500 Mb/s
- Lokacja B: 2 tunele IPsec: 2 x 500 Mb/s = 1000 Mb/s
- Lokacja C: 2 tunele IPsec: 2 x 750 Mb/s = 1500 Mb/s
- Lokacja D: 2 tunele IPsec: 2 x 1000 Mb/s = 2000 Mb/s
- Lokacja E: 2 tunele IPsec: 2 x 1000 Mb/s = 2000 Mb/s
Pozostała przepustowość: 4000 Mb/s
Najemca 3:
Łączna przepustowość: 39 000 Mb/s
Przydział:
- Lokacja A: 2 tunele IPsec: 2 x 250 Mb/s = 500 Mb/s
- Lokacja B: 2 tunele IPsec: 2 x 500 Mb/s = 1000 Mb/s
- Lokacja C: 2 tunele IPsec: 2 x 750 Mb/s = 1500 Mb/s
- Lokacja D: 2 tunele IPsec: 2 x 750 Mb/s = 1500 Mb/s
- Lokacja E: 2 tunele IPsec: 2 x 1000 Mb/s = 2000 Mb/s
- Lokacja F: 2 tunele IPsec: 2 x 1000 Mb/s = 2000 Mb/s
- Lokacja G: 2 tunele IPsec: 2 x 1000 Mb/s = 2000 Mb/s
Pozostała przepustowość: 28 500 Mb/s