Поделиться через

Определение требований к шифрованию сети

  • Статья

В этой статье рассматриваются основные рекомендации по шифрованию сети между локальной средой и Azure, а также в регионах Azure.

Рекомендации по проектированию

  • Стоимость и доступная пропускная способность обратно пропорционально длине туннеля шифрования между конечными точками.

  • Шифрование Azure виртуальная сеть улучшает существующие возможности шифрования в Azure и позволяет легко шифровать трафик и расшифровывать между виртуальными машинами и масштабируемыми наборами виртуальных машин.

  • Если вы используете VPN для подключения к Azure, трафик шифруется через Интернет туннель IPsec.

  • При использовании Azure ExpressRoute с частным пирингом трафик в настоящее время не шифруется.

  • Можно настроить VPN-подключение типа "сеть — сеть " через частный пиринг ExpressRoute.

  • Вы можете применить шифрование системы управления доступом к носителю мультимедиа (MACsec) к ExpressRoute Direct, чтобы обеспечить шифрование сети.

  • Когда трафик Azure перемещается между центрами обработки данных (за пределами физических границ, которые не управляются корпорацией Майкрософт или от имени корпорации Майкрософт), на базовом сетевом оборудовании используется Шифрование данных ссылки уровня MACsec. Это применимо к трафику пиринга виртуальной сети.

Рекомендации по проектированию

Схема, иллюстрирующая потоки шифрования.

Рис. 1.: Потоки шифрования.

  • При установке VPN-подключений из локальной среды в Azure с помощью VPN-шлюзов, трафик шифруется на уровне протокола через туннели IPsec. На предыдущей схеме показано шифрование в последовательности A.

  • Если необходимо зашифровать трафик между виртуальными машинами в одной виртуальной сети или между региональными или глобальными одноранговым виртуальными сетями, используйте шифрование виртуальная сеть.

  • Если вы используете ExpressRoute Direct, настройте MACsec для шифрования трафика на уровне 2 между маршрутизаторами организации и MSEE. На схеме показано шифрование в последовательности B.

  • В сценариях виртуальной глобальной сети, где MACsec не является параметром (например, не используется функция ExpressRoute Direct), используйте VPN-шлюз виртуальной глобальной сети для установки туннелей IPSec через частный пиринг ExpressRoute. На схеме показано шифрование в последовательности C.

  • Для сценариев невиртуальной глобальной сети и там, где MACsec не является параметром (например, не используется протокол ExpressRoute Direct), доступны следующие параметры:

    • Используйте виртуальные сетевые модули (NVA) партнеров для установки туннелей IPsec через частный пиринг ExpressRoute.
    • Установите VPN-туннель через ExpressRoute с помощью пиринга Майкрософт.
    • Оцените возможности настройки подключения типа "сеть — сеть" VPN через частный пиринг ExpressRoute.

  • Если собственные решения Azure (как показано в последовательностях B и C на схеме) не соответствуют вашим требованиям, используйте партнерский виртуальный сетевой модуль (NVA) в Azure для шифрования трафика через частный пиринг ExpressRoute.