Общие сведения о удаленном сетевом подключении
Global Secure Access поддерживает два варианта подключения: установка клиента на устройстве конечного пользователя и настройка удаленной сети, например расположение ветви с физическим маршрутизатором. Удаленное сетевое подключение упрощает подключение конечных пользователей и гостей из удаленной сети, не требуя установки клиента глобального безопасного доступа.
В этой статье описываются основные понятия удаленного сетевого подключения, а также распространенные сценарии, в которых это полезно.
Что такое удаленная сеть?
Удаленные сети — это удаленные расположения или сети, требующие подключения к Интернету. Например, многие организации имеют центральные штаб-квартиры и филиалы в разных географических районах. Эти филиалы нуждаются в доступе к корпоративным данным и службам. Им нужен безопасный способ взаимодействия с центром обработки данных, штаб-квартирой и удаленными работниками. Безопасность удаленных сетей имеет решающее значение для многих типов организаций.
Удаленные сети, такие как расположение филиала, обычно подключаются к корпоративной сети через выделенное сетевое подключение (глобальная сеть) или подключение виртуальной частной сети (VPN). Сотрудники в расположении филиала подключаются к сети с помощью локального оборудования клиента (CPE).
Текущие проблемы безопасности удаленной сети
Требования к пропускной способности выросли . Количество устройств, требующих доступа к Интернету, увеличивается экспоненциально. Традиционные сети трудно масштабировать. С появлением приложений Software as Service (SaaS), таких как Microsoft 365, постоянно растет спрос на низкую задержку и jitter-меньше связи, с которыми борются традиционные технологии, такие как широкая сеть (глобальная сеть) и переключение меток с несколькими протоколами (MPLS).
ИТ-команды являются дорогостоящими . Как правило, брандмауэры размещаются на физических устройствах локально, что требует ИТ-команды для настройки и обслуживания. Обслуживание ИТ-группы в каждом расположении филиала является дорогостоящим.
Развивающиеся угрозы — злоумышленники находят новые способы атаковать устройства на границе сетей. Пограничные устройства в филиалах или даже домашних офисах часто являются наиболее уязвимой точкой атаки.
Как работает подключение к удаленной сети глобального безопасного доступа?
Чтобы подключить удаленную сеть к глобальному безопасному доступу, необходимо настроить туннель безопасности протокола Интернета (IPSec) между локальным оборудованием и конечной точкой глобального безопасного доступа. Указанный трафик направляется через туннель IPSec к ближайшей конечной точке глобального безопасного доступа. Политики безопасности можно применить в Центре администрирования Microsoft Entra.
Подключение к удаленной сети глобального безопасного доступа обеспечивает безопасное решение между удаленной сетью и службой глобального безопасного доступа. Он не обеспечивает безопасное подключение между одной удаленной сетью и другой. Дополнительные сведения о безопасном подключении к удаленной сети см. в документации по Azure Виртуальная глобальная сеть.
Почему для вас важно удаленное сетевое подключение?
Обеспечение безопасности корпоративной сети становится все более сложным в мире удаленной работы и распределенных команд. Служба безопасности Edge (SSE) обещает мир безопасности, где клиенты могут получить доступ к своим корпоративным ресурсам из любой точки мира, не требуя обратного передачи трафика в штаб-квартиру.
Распространенные сценарии подключения к удаленной сети
Я не хочу устанавливать клиенты на тысячи устройств в локальной среде.
Как правило, SSE применяется путем установки клиента на устройстве. Клиент создает туннель к ближайшей конечной точке SSE и направляет через него весь интернет-трафик. Решения SSE проверяют трафик и применяют политики безопасности. Если пользователи не являются мобильными и основаны на расположении физической ветви, то удаленное сетевое подключение для этого расположения ветви удаляет боль при установке клиента на каждом устройстве. Вы можете подключить все расположение ветви, создав туннель IPSec между основным маршрутизатором филиала и конечной точкой Глобального безопасного доступа.
Не удается установить клиенты на всех устройствах, принадлежащих моей организации.
Иногда клиенты не могут быть установлены на всех устройствах. Глобальный безопасный доступ в настоящее время предоставляет клиенты для Windows. Но что касается Linux, мейнфреймов, камер, принтеров и других типов устройств, которые находятся в локальной среде и отправляют трафик в Интернет? Этот трафик по-прежнему необходимо отслеживать и защищать. При подключении удаленной сети можно задать политики для всего трафика из этого расположения независимо от устройства, в котором он был создан.
У меня есть гости в моей сети, у которых нет установленного клиента.
Гостевые устройства в сети могут не устанавливаться клиентом. Чтобы убедиться, что эти устройства соответствуют политикам безопасности сети, вам потребуется трафик, перенаправленный через конечную точку глобального безопасного доступа. Удаленное сетевое подключение решает эту проблему. На гостевых устройствах не требуется устанавливать клиенты. По умолчанию весь исходящий трафик из удаленной сети проходит через оценку безопасности.
Сколько пропускной способности будет выделено для каждого клиента
Общая пропускная способность, которую вы выделяете, определяется количеством приобретенных лицензий. Каждая лицензия Microsoft Entra ID P1, лицензия Microsoft Entra Internet Access или лицензия Microsoft Entra Suite способствует вашей общей пропускной способности. Пропускная способность для удаленных сетей может быть выделена туннелям IPsec с увеличениями в 250 Мбит/с, 500 Мбит/с, 750 Мбит/с или 1000 Мбит/с. Эта гибкость позволяет выделить пропускную способность для разных удаленных сетевых расположений в соответствии с конкретными потребностями. Для оптимальной производительности корпорация Майкрософт рекомендует настроить по крайней мере два туннеля IPsec для каждого расположения для обеспечения высокой доступности. В таблице ниже приведены сведения о общей пропускной способности на основе количества приобретенных лицензий.
Распределение пропускной способности удаленной сети
| # лицензий | Общая пропускная способность (Мбит/с) |
|---|---|
| 50 – 99 | 500 Мбит/с |
| 100 – 499 | 1000 Мбит/с |
| 500 – 999 | 2000 Мбит/с |
| 1,000 – 1,499 | 3500 Мбит/с |
| 1,500 – 1,999 | 4000 Мбит/с |
| 2,000 – 2,499 | 4500 Мбит/с |
| 2,500 – 2,999 | 5000 Мбит/с |
| 3,000 – 3,499 | 5500 Мбит/с |
| 3,500 – 3,999 | 6 000 Мбит/с |
| 4,000 – 4,499 | 6500 Мбит/с |
| 4,500 – 4,999 | 7 000 Мбит/с |
| 5,000 – 5,499 | 10 000 Мбит/с |
| 5,500 – 5,999 | 10 500 Мбит/с |
| 6,000 – 6,499 | 11 000 Мбит/с |
| 6,500 – 6,999 | 11500 Мбит/с |
| 7,000 – 7,499 | 12 000 Мбит/с |
| 7,500 – 7,999 | 12500 Мбит/с |
| 8,000 – 8,499 | 13 000 Мбит/с |
| 8,500 – 8,999 | 13 500 Мбит/с |
| 9,000 – 9,499 | 14 000 Мбит/с |
| 9,500 – 9,999 | 14 500 Мбит/с |
| 10,000 + | 35 000 Мбит/с + |
Примечания к таблице
- Минимальное количество лицензий для использования функции удаленного сетевого подключения — 50.
- Количество лицензий равно общему количеству приобретенных лицензий (Entra ID P1 + Entra Internet Access /Entra Suite). После 10 000 лицензий вы получаете дополнительные 500 Мбит/с для каждых 500 лицензий (например, 11 000 лицензий = 36 000 Мбит/с).
- Организации, пересекающие 10 000 лицензий, часто работают в масштабе предприятия, требуя более надежной инфраструктуры. Переход к 35 000 Мбит/с обеспечивает достаточное количество ресурсов для удовлетворения требований таких развертываний, поддерживая более высокие объемы трафика и обеспечивая гибкость для расширения распределения пропускной способности по мере необходимости.
- Если потребуется больше пропускной способности, её можно будет дополнительно приобрести.
Примеры выделенной пропускной способности для каждого клиента:
Арендатор 1:
- 1000 лицензий Entra ID P1
- Выделено: 1000 лицензий, 3500 Мбит/с
Арендатор 2:
- 3000 лицензий Entra ID P1
- 3000 лицензий на Доступ к Интернету
- Выделено: 6 000 лицензий, 11 000 Мбит/с
арендатор 3:
- 8 000 лицензий Entra ID P1
- 6000 лицензий Entra Suite
- Выделено: 14 000 лицензий, 39 000 Мбит/с
Примеры распределения пропускной способности для удаленных сетей
арендатор 1:
Общая пропускная способность: 3500 Мбит/с
Распределение:
- Сайт A: 2 туннеля IPsec: 2 x 250 Мбит/с = 500 Мбит/с
- Сайт B: 2 туннеля IPsec: 2 x 250 Мбит/с = 500 Мбит/с
- Сайт C: 2 туннеля IPsec: 2 x 500 Мбит/с = 1000 Мбит/с
- Сайт D: 2 туннеля IPsec: 2 x 750 Мбит/с = 1500 Мбит/с
Оставшаяся пропускная способность: нет
арендатор 2:
Общая пропускная способность: 11 000 Мбит/с
Распределение:
- Сайт A: 2 туннеля IPsec: 2 x 250 Мбит/с = 500 Мбит/с
- Сайт B: 2 туннеля IPsec: 2 x 500 Мбит/с = 1000 Мбит/с
- Сайт C: 2 туннеля IPsec: 2 x 750 Мбит/с = 1500 Мбит/с
- Сайт D: 2 туннеля IPsec: 2 x 1000 Мбит/с = 2000 Мбит/с
- Сайт E: 2 туннеля IPsec: 2 x 1000 Мбит/с = 2000 Мбит/с
Оставшаяся пропускная способность: 4000 Мбит/с
клиент 3:
Общая пропускная способность: 39 000 Мбит/с
Распределение:
- Сайт A: 2 туннеля IPsec: 2 x 250 Мбит/с = 500 Мбит/с
- Сайт B: 2 туннеля IPsec: 2 x 500 Мбит/с = 1000 Мбит/с
- Сайт C: 2 туннеля IPsec: 2 x 750 Мбит/с = 1500 Мбит/с
- Сайт D: 2 туннеля IPsec: 2 x 750 Мбит/с = 1500 Мбит/с
- Сайт E: 2 туннеля IPsec: 2 x 1000 Мбит/с = 2000 Мбит/с
- Сайт F: 2 туннеля IPsec: 2 x 1000 Мбит/с = 2000 Мбит/с
- Site G: 2 туннеля IPsec: 2 x 1000 Мбит/с = 2000 Мбит/с
Оставшаяся пропускная способность: 28 500 Мбит/с