Compreender a conectividade de rede remota
O Global Secure Access suporta duas opções de conectividade: instalar um cliente no dispositivo do usuário final e configurar uma rede remota, por exemplo, um local de filial com um roteador físico. A conectividade de rede remota simplifica a forma como os seus utilizadores finais e convidados se ligam a partir de uma rede remota sem necessidade de instalar o Global Secure Access Client.
Este artigo descreve os principais conceitos de conectividade de rede remota, juntamente com cenários comuns onde ela é útil.
O que é uma rede remota?
As redes remotas são locais remotos ou redes que requerem conectividade com a Internet. Por exemplo, muitas organizações têm uma sede central e filiais em diferentes áreas geográficas. Essas filiais precisam ter acesso a dados e serviços corporativos. Eles precisam de uma maneira segura de falar com o data center, a sede e os trabalhadores remotos. A segurança das redes remotas é crucial para muitos tipos de organizações.
As redes remotas, como uma filial, normalmente são conectadas à rede corporativa por meio de uma WAN (Wide Area Network) dedicada ou uma conexão VPN (Virtual Private Network). Os funcionários na filial se conectam à rede usando o equipamento das instalações do cliente (CPE).
Desafios atuais da segurança de rede remota
Os requisitos de largura de banda cresceram – O número de dispositivos que requerem acesso à Internet aumenta exponencialmente. As redes tradicionais são difíceis de escalar. Com o advento de aplicativos SaaS (Software as a Service), como o Microsoft 365, há demandas cada vez maiores de baixa latência e comunicação sem desvios com as quais tecnologias tradicionais como Wide Area Network (WAN) e Multi-Protocol Label Switching (MPLS) lutam.
As equipes de TI são caras – Normalmente, os firewalls são colocados em dispositivos físicos no local, o que requer uma equipe de TI para configuração e manutenção. Manter uma equipe de TI em cada filial é caro.
Ameaças em evolução – Agentes mal-intencionados estão encontrando novos caminhos para atacar os dispositivos na borda das redes. Os dispositivos de borda em filiais ou mesmo escritórios domésticos são muitas vezes o ponto mais vulnerável de ataque.
Como funciona a conectividade de rede remota Global Secure Access?
Para conectar uma rede remota ao Acesso Seguro Global, configure um túnel IPSec (Internet Protocol Security) entre o equipamento local e o ponto de extremidade de Acesso Seguro Global. O tráfego especificado é roteado através do túnel IPSec para o ponto de extremidade de Acesso Seguro Global mais próximo. Você pode aplicar políticas de segurança no centro de administração do Microsoft Entra.
A conectividade de rede remota Global Secure Access fornece uma solução segura entre uma rede remota e o serviço Global Secure Access. Ele não fornece uma conexão segura entre uma rede remota e outra. Para saber mais sobre a conectividade segura de rede remota para rede remota, consulte a documentação da WAN Virtual do Azure.
Por que a conectividade de rede remota é importante para você?
Manter a segurança de uma rede corporativa é cada vez mais difícil em um mundo de trabalho remoto e equipes distribuídas. O Security Service Edge (SSE) promete um mundo de segurança onde os clientes podem acessar seus recursos corporativos de qualquer lugar do mundo sem precisar transportar seu tráfego para a sede.
Cenários comuns de conectividade de rede remota
Não quero instalar clientes em milhares de dispositivos no local.
Geralmente, o SSE é imposto instalando um cliente em um dispositivo. O cliente cria um túnel para o ponto de extremidade SSE mais próximo e roteia todo o tráfego da Internet através dele. As soluções SSE inspecionam o tráfego e aplicam políticas de segurança. Se os usuários não forem móveis e estiverem baseados em um local de filial física, a conectividade de rede remota para esse local de filial eliminará a dificuldade de instalar um cliente em cada dispositivo. Você pode conectar todo o local da filial criando um túnel IPSec entre o roteador principal da filial e o ponto de extremidade de Acesso Seguro Global.
Não consigo instalar clientes em todos os dispositivos que a minha organização possui.
Às vezes, os clientes não podem ser instalados em todos os dispositivos. Atualmente, o Global Secure Access fornece clientes para Windows. Mas e o Linux, mainframes, câmeras, impressoras e outros tipos de dispositivos que estão no local e enviando tráfego para a internet? Esse tráfego ainda precisa ser monitorado e protegido. Quando liga uma rede remota, pode definir políticas para todo o tráfego a partir dessa localização, independentemente do dispositivo de origem.
Tenho convidados na minha rede que não têm o cliente instalado.
Os dispositivos convidados na rede podem não ter o cliente instalado. Para garantir que esses dispositivos adiram às suas políticas de segurança de rede, você precisa que o tráfego deles seja roteado através do ponto de extremidade de Acesso Seguro Global. A conectividade de rede remota resolve esse problema. Nenhum cliente precisa ser instalado em dispositivos convidados. Todo o tráfego de saída da rede remota está passando por avaliação de segurança por padrão.
Quanta largura de banda será alocada por locatário
A largura de banda total alocada é determinada pelo número de licenças adquiridas. Cada licença do Microsoft Entra ID P1, licença do Microsoft Entra Internet Access ou licença do Microsoft Entra Suite contribui para a largura de banda total. A largura de banda para redes remotas pode ser atribuída a túneis IPsec em incrementos de 250 Mbps, 500 Mbps, 750 Mbps ou 1000 Mbps. Essa flexibilidade permite alocar largura de banda para diferentes locais de rede remotos de acordo com suas necessidades específicas. Para um desempenho ideal, a Microsoft recomenda configurar pelo menos dois túneis IPsec por local para alta disponibilidade. A tabela abaixo detalha a largura de banda total com base no número de licenças adquiridas.
Alocação remota de largura de banda de rede
| Número de licenças | Largura de banda total (Mbps) |
|---|---|
| 50 – 99 | 500 Mbps |
| 100 – 499 | 1.000 Mbps |
| 500 – 999 | 2.000 Mbps |
| 1,000 – 1,499 | 3.500 Mbps |
| 1,500 – 1,999 | 4.000 Mbps |
| 2,000 – 2,499 | 4.500 Mbps |
| 2,500 – 2,999 | 5.000 Mbps |
| 3,000 – 3,499 | 5.500 Mbps |
| 3,500 – 3,999 | 6.000 Mbps |
| 4,000 – 4,499 | 6.500 Mbps |
| 4,500 – 4,999 | 7.000 Mbps |
| 5,000 – 5,499 | 10.000 Mbps |
| 5,500 – 5,999 | 10.500 Mbps |
| 6,000 – 6,499 | 11.000 Mbps |
| 6,500 – 6,999 | 11.500 Mbps |
| 7,000 – 7,499 | 12.000 Mbps |
| 7,500 – 7,999 | 12.500 Mbps |
| 8,000 – 8,499 | 13.000 Mbps |
| 8,500 – 8,999 | 13.500 Mbps |
| 9,000 – 9,499 | 14.000 Mbps |
| 9,500 – 9,999 | 14.500 Mbps |
| 10.000 + | 35.000 Mbps + |
Notas de tabela
- O número mínimo de licenças para usar o recurso de conectividade de rede remota é 50.
- O número de licenças é igual ao número total de licenças adquiridas (Entra ID P1 + Entra Internet Access /Entra Suite). Após 10.000 licenças, você obtém 500 Mbps adicionais para cada 500 licenças adquiridas (exemplo: 11.000 licenças = 36.000 Mbps).
- As organizações que ultrapassam a marca de 10.000 licenças geralmente operam em uma escala empresarial que exige uma infraestrutura mais robusta. O salto para 35.000 Mbps garante ampla capacidade para atender às demandas de tais implantações, suportando maiores volumes de tráfego e fornecendo a flexibilidade para expandir as alocações de largura de banda conforme necessário.
- Se for necessária mais largura de banda, largura de banda adicional estará disponível para compra.
Exemplos de largura de banda alocada por locatário:
Inquilino 1:
- 1.000 licenças Entra ID P1
- Alocado: 1.000 licenças, 3.500 Mbps
Inquilino 2:
- 3.000 licenças Entra ID P1
- 3.000 licenças de acesso à Internet
- Alocado: 6.000 licenças, 11.000 Mbps
Inquilino 3:
- 8 000 licenças de Entra ID P1
- 6.000 licenças do Entra Suite
- Alocado: 14.000 licenças, 39.000 Mbps
Exemplos de distribuição de largura de banda para redes remotas
Inquilino 1:
Largura de banda total: 3.500 Mbps
Atribuição:
- Site A: 2 túneis IPsec: 2 x 250 Mbps = 500 Mbps
- Site B: 2 túneis IPsec: 2 x 250 Mbps = 500 Mbps
- Site C: 2 túneis IPsec: 2 x 500 Mbps = 1.000 Mbps
- Site D: 2 túneis IPsec: 2 x 750 Mbps = 1.500 Mbps
Largura de banda restante: Nenhuma
Inquilino 2:
Largura de banda total: 11.000 Mbps
Atribuição:
- Site A: 2 túneis IPsec: 2 x 250 Mbps = 500 Mbps
- Site B: 2 túneis IPsec: 2 x 500 Mbps = 1.000 Mbps
- Site C: 2 túneis IPsec: 2 x 750 Mbps = 1.500 Mbps
- Site D: 2 túneis IPsec: 2 x 1.000 Mbps = 2.000 Mbps
- Site E: 2 túneis IPsec: 2 x 1.000 Mbps = 2.000 Mbps
Largura de banda restante: 4.000 Mbps
Inquilino 3:
Largura de banda total: 39.000 Mbps
Atribuição:
- Site A: 2 túneis IPsec: 2 x 250 Mbps = 500 Mbps
- Site B: 2 túneis IPsec: 2 x 500 Mbps = 1.000 Mbps
- Site C: 2 túneis IPsec: 2 x 750 Mbps = 1.500 Mbps
- Site D: 2 túneis IPsec: 2 x 750 Mbps = 1.500 Mbps
- Site E: 2 túneis IPsec: 2 x 1.000 Mbps = 2.000 Mbps
- Site F: 2 túneis IPsec: 2 x 1.000 Mbps = 2.000 Mbps
- Site G: 2 túneis IPsec: 2 x 1.000 Mbps = 2.000 Mbps
Largura de banda restante: 28.500 Mbps