Entender a conectividade de rede remota
O Acesso Global Seguro dá suporte a duas opções de conectividade: instalar um cliente no dispositivo de usuário final e configurar uma rede remota, por exemplo, uma filial com um roteador físico. A conectividade de rede remota simplifica como seus usuários finais e convidados se conectam de uma rede remota sem a necessidade de instalar o Cliente de Acesso Seguro Global.
Esse artigo descreve os principais conceitos de conectividade de rede remota, juntamente com cenários comuns em que é útil.
O que é uma rede remota?
Redes remotas são locais remotos ou redes que exigem conectividade com a Internet. Por exemplo, muitas organizações têm uma sede central e filiais em diferentes áreas geográficas. Essas filiais precisam de acesso a dados e serviços corporativos. Eles precisam de uma maneira segura de conversar com o data center, a sede e os trabalhadores remotos. A segurança de redes remotas é crucial para muitos tipos de organizações.
Redes remotas, como uma filial, normalmente são conectadas à rede corporativa por meio de uma WAN (Rede de Ampla Área) dedicada ou uma conexão VPN (Rede Virtual Privada). Os funcionários na filial se conectam à rede usando o CPE (equipamento local do cliente).
Desafios atuais da segurança de rede remota
Os requisitos de Largura de Banda cresceram - O número de dispositivos que requerem acesso à Internet aumenta exponencialmente. Redes tradicionais são difíceis de dimensionar. Com o advento de aplicativos SaaS (Software como Serviço), como o Microsoft 365, há demandas cada vez maiores de baixa latência e comunicação sem tremulação que tecnologias tradicionais como WAN (Rede de Ampla Área) e MPLS (Troca de Rótulos Multi-Protocolo) enfrentam.
As equipes de TI são caras – Normalmente, os firewalls são colocados em dispositivos físicos locais, o que requer uma equipe de TI para instalação e manutenção. Manter uma equipe de TI em cada filial é caro.
Ameaças em evolução – Atores mal-intencionados estão encontrando novos caminhos para atacar os dispositivos na borda das redes. Os dispositivos de borda em filiais ou até mesmo home offices geralmente são o ponto de ataque mais vulnerável.
Como funciona a conectividade de rede remota do Acesso Seguro Global?
Para conectar uma rede remota ao Acesso Seguro Global, configure um túnel IPSec (Segurança de Protocolo de Internet) entre o equipamento local e o ponto de extremidade de Acesso Seguro Global. O tráfego especificado é roteado por meio do túnel IPSec para o ponto de extremidade de Acesso Seguro Global mais próximo. Você pode aplicar políticas de segurança no centro de administração do Microsoft Entra.
A conectividade de rede remota do Acesso Seguro Global fornece uma solução segura entre uma rede remota e o serviço de Acesso Seguro Global. Ele não fornece uma conexão segura entre uma rede remota e outra. Para saber mais sobre a conectividade de rede remota segura para rede remota, consulte a documentação do Azure WAN Virtual.
Por que a conectividade de rede remota é importante para você?
Manter a segurança de uma rede corporativa é cada vez mais difícil em um mundo de trabalho remoto e equipes distribuídas. A SSE (Security Service Edge) promete um mundo de segurança em que os clientes podem acessar seus recursos corporativos de qualquer lugar do mundo sem precisar voltar seu tráfego para a sede.
Cenários comuns de conectividade de rede remota
Não quero instalar clientes em milhares de dispositivos locais.
Geralmente, a SSE é imposta instalando um cliente em um dispositivo. O cliente cria um túnel para o ponto de extremidade SSE mais próximo e roteia todo o tráfego da Internet através dele. As soluções SSE inspecionam o tráfego e impõem políticas de segurança. Se os usuários não forem móveis e se basearem em uma filial física, a conectividade de rede remota para essa filial eliminará a dificuldade de instalar um cliente em cada dispositivo. Você pode conectar toda a filial criando um túnel IPSec entre o roteador principal da filial e o ponto de extremidade de Acesso Seguro Global.
Não consigo instalar clientes em todos os dispositivos que minha organização possui.
Às vezes, os clientes não podem ser instalados em todos os dispositivos. Atualmente, o Acesso Seguro Global fornece clientes para Windows. Mas e quanto ao Linux, mainframes, câmeras, impressoras e outros tipos de dispositivos que estão no local e enviam tráfego para a internet? Esse tráfego ainda precisa ser monitorado e protegido. Ao conectar uma rede remota, você pode definir políticas para todo o tráfego desse local, independentemente do dispositivo de origem.
Tenho convidados na minha rede que não têm o cliente instalado.
Os dispositivos convidados na sua rede podem não ter o cliente instalado. Para garantir que esses dispositivos sigam suas políticas de segurança de rede, você precisará do tráfego roteado por meio do ponto de extremidade de Acesso Seguro Global. A conectividade de rede remota resolve esse problema. Nenhum cliente precisa ser instalado em dispositivos convidados. Todo o tráfego de saída da rede remota está passando pela avaliação de segurança por padrão.
Quanta largura de banda será alocada por locatário
A largura de banda total alocada é determinada pelo número de licenças adquiridas. Cada licença do Microsoft Entra ID P1, a licença do Microsoft Entra Internet Access ou a licença do Microsoft Entra Suite contribuem para sua largura de banda total. A largura de banda para redes remotas pode ser atribuída a túneis IPsec em incrementos de 250 Mbps, 500 Mbps, 750 Mbps ou 1000 Mbps. Essa flexibilidade permite que você aloque largura de banda para diferentes locais de rede remota de acordo com suas necessidades específicas. Para um desempenho ideal, a Microsoft recomenda configurar pelo menos dois túneis IPsec por local para alta disponibilidade. A tabela abaixo detalha a largura de banda total com base no número de licenças adquiridas.
Alocação de largura de banda de rede remota
| Número de licenças | Largura de banda total (Mbps) |
|---|---|
| 50 – 99 | 500 Mbps |
| 100 – 499 | 1.000 Mbps |
| 500 – 999 | 2.000 Mbps |
| 1,000 – 1,499 | 3.500 Mbps |
| 1,500 – 1,999 | 4.000 Mbps |
| 2,000 – 2,499 | 4.500 Mbps |
| 2,500 – 2,999 | 5.000 Mbps |
| 3,000 – 3,499 | 5.500 Mbps |
| 3,500 – 3,999 | 6.000 Mbps |
| 4,000 – 4,499 | 6.500 Mbps |
| 4,500 – 4,999 | 7.000 Mbps |
| 5,000 – 5,499 | 10.000 Mbps |
| 5,500 – 5,999 | 10.500 Mbps |
| 6,000 – 6,499 | 11.000 Mbps |
| 6,500 – 6,999 | 11.500 Mbps |
| 7,000 – 7,499 | 12.000 Mbps |
| 7,500 – 7,999 | 12.500 Mbps |
| 8,000 – 8,499 | 13.000 Mbps |
| 8,500 – 8,999 | 13.500 Mbps |
| 9,000 – 9,499 | 14.000 Mbps |
| 9,500 – 9,999 | 14.500 Mbps |
| 10.000 + | 35.000 Mbps + |
Notas da tabela
- O número mínimo de licenças para usar o recurso de conectividade de rede remota é 50.
- O número de licenças é igual ao número total de licenças adquiridas (Entra ID P1 + Entra Internet Access /Entra Suite). Após 10.000 licenças, você obtém mais 500 Mbps para cada 500 licenças adquiridas (exemplo 11.000 licenças = 36.000 Mbps).
- As organizações que cruzam a marca de 10.000 licenças geralmente operam em escala empresarial, exigindo uma infraestrutura mais robusta. O salto para 35.000 Mbps garante ampla capacidade para atender às demandas dessas implantações, dando suporte a volumes de tráfego mais altos e fornecendo flexibilidade para expandir as alocações de largura de banda conforme necessário.
- Se mais largura de banda for necessária, a largura de banda adicional estará disponível para compra.
Exemplos de largura de banda alocada por locatário:
Locatário 1:
- 1.000 licenças ID Entra P1
- Alocado: 1.000 licenças, 3.500 Mbps
Locatário 2:
- 3.000 licenças do Entra ID P1
- 3.000 licenças de acesso à internet
- Alocado: 6.000 licenças, 11.000 Mbps
Locatário 3:
- 8 mil licenças do Entra ID P1
- 6.000 licenças do Entra Suite
- Alocado: 14.000 licenças, 39.000 Mbps
Exemplos de distribuição de largura de banda para redes remotas
Locatário 1:
Largura de banda total: 3.500 Mbps
Alocação:
- Site A: 2 túneis IPsec: 2 x 250 Mbps = 500 Mbps
- Site B: 2 túneis IPsec: 2 x 250 Mbps = 500 Mbps
- Site C: 2 túneis IPsec: 2 x 500 Mbps = 1.000 Mbps
- Site D: 2 túneis IPsec: 2 x 750 Mbps = 1.500 Mbps
Largura de banda restante: Nenhuma
Locatário 2:
Largura de banda total: 11.000 Mbps
Alocação:
- Site A: 2 túneis IPsec: 2 x 250 Mbps = 500 Mbps
- Site B: 2 túneis IPsec: 2 x 500 Mbps = 1.000 Mbps
- Site C: 2 túneis IPsec: 2 x 750 Mbps = 1.500 Mbps
- Site D: 2 túneis IPsec: 2 x 1.000 Mbps = 2.000 Mbps
- Site E: 2 túneis IPsec: 2 x 1.000 Mbps = 2.000 Mbps
Largura de banda restante: 4.000 Mbps
Locatário 3:
Largura de banda total: 39.000 Mbps
Alocação:
- Site A: 2 túneis IPsec: 2 x 250 Mbps = 500 Mbps
- Site B: 2 túneis IPsec: 2 x 500 Mbps = 1.000 Mbps
- Site C: 2 túneis IPsec: 2 x 750 Mbps = 1.500 Mbps
- Site D: 2 túneis IPsec: 2 x 750 Mbps = 1.500 Mbps
- Site E: 2 túneis IPsec: 2 x 1.000 Mbps = 2.000 Mbps
- Site F: 2 túneis IPsec: 2 x 1.000 Mbps = 2.000 Mbps
- Site G: 2 túneis IPsec: 2 x 1.000 Mbps = 2.000 Mbps
Largura de banda restante: 28.500 Mbps