了解远程网络连接

全球安全访问支持两种连接选项:在最终用户设备上安装客户端,以及配置远程网络,例如使用物理路由器的分支位置。 远程网络连接让最终用户和来宾无需安装“全局安全访问”客户端,即可从远程网络进行连接。

本文介绍远程网络连接的主要概念,以及有用的常见场景。

什么是远程网络?

远程网络是需要 Internet 连接的远程位置或网络。 例如,许多企业都会设立一个中央总部,并在不同地理区域设立分支机构。 这些分支机构需要访问企业数据和服务。 它们需要安全的方式与数据中心、总部和远程办公员工进行交流。 对于许多类型的企业而言,远程网络的安全性至关重要。

远程网络(如分支机构)通常通过专用广域网 (WAN) 或虚拟专用网络 (VPN) 连接企业网络。 在分支机构位置的员工使用客户本地设备 (CPE) 连接网络。

远程网络安全目前面临的挑战

带宽需求持续增加 – 需要访问 Internet 的设备数量呈指数级增加。 传统网络难以进行缩放。 随着像 Microsoft 365 这样的软件即服务 (SaaS) 应用程序的出现,对于低延迟、无抖动通信的需求越来越大,而这两点需求是广域网 (WAN) 和多协议标签交换 (MPLS) 等传统技术所无法满足的。

IT 团队运营成本高昂 – 防火墙通常安装在本地物理设备上,需要 IT 团队进行设置和维护。 而在每一处分支机构都维护一支 IT 团队要花费大量成本。

不断演变的威胁 – 恶意行动者想尽各种办法来攻击位于网络边缘的设备。 分支机构甚至家庭办公室中的边缘设备通常是最易受到攻击的攻击点。

全局安全访问远程网络连接的工作原理是什么?

远程网络若要连接全局安全访问,需要在本地设备和全局安全访问终结点之间设置一条内部协议安全 (IPSec) 隧道。 指定的流量经由 IPSec 隧道路由到最近的全局安全访问终结点。 可以在 Microsoft Entra 管理中心应用安全策略。

全局安全访问远程网络连接在远程网络和全局安全访问服务之间提供了一套安全解决方案。 它不在两个远程网络之间提供安全连接。 若要详细了解安全远程网络与远程网络的连接,请参阅 Azure 虚拟 WAN 文档

为什么远程网络连接对你很重要?

如今,团队分散在不同地点,远程办公盛行,让维护企业网络的安全性变得越来越难。 安全服务边缘 (SSE) 能够提供安全的环境,让客户可以从世界任何一个角落访问其企业资源,而无需将流量回传到总部。

远程网络连接常见场景

我不想在几千台本地设备上安装客户端。

通常,在设备上安装客户端会强制实施 SSE。 客户端会创建一条通往最近的 SSE 终结点的隧道,并通过这条隧道路由所有 Internet 流量。 SSE 解决方案会检查流量并强制实施安全策略。 如果用户不是移动办公,而是在实体分支机构位置,则该分支机构位置的远程网络连接可省去在每台设备上安装客户端的繁琐。 可以通过在分支机构办公室和全局安全访问终结点之间创建一条 IPSec 隧道来连接整个分支机构位置。

我无法在组织拥有的所有设备上都安装客户端。

有时,并不能在所有设备上都安装客户端。 全局安全访问目前提供 Windows 版客户端。 可如果本地使用的是 Linux、大型机、打印机和其他类型的设备向 Internet 发送流量,该怎么办? 这种情况下,仍然需要监视并确保流量的安全。 连接远程网络时,可以为来自该位置的所有流量制定策略,无论是来自哪里的设备。

我的网络上,有的来宾没有安装客户端。

网络上的来宾设备可能并未安装客户端。 为了确保此类设备遵守网络安全策略,需要通过全局安全访问终结点来路由此类设备的流量。 远程网络连接可以解决此问题。 不需要在来宾设备上安装客户端。 默认情况下,从远程网络发出的所有流量都要经过安全评估。

后续步骤