共用方式為

定義網路加密需求

  • 發行項

本節探討在內部部署與 Azure 之間以及跨 Azure 區域達成網路加密的重要建議。

設計考量

  • 成本和可用頻寬會與端點之間的加密通道長度成反比。

  • Azure 虛擬網絡 加密可增強 Azure 中現有的傳輸中加密功能,並允許虛擬機 (VM) 與虛擬機擴展集之間順暢的流量加密和解密。

  • 當您使用 VPN 連線到 Azure 時,流量會透過 IPsec 通道透過因特網加密。

  • 當您搭配私人對等互連使用 Azure ExpressRoute 時,流量目前不會加密。

  • 您可以透過 ExpressRoute 私人對等互連設定站對站 VPN 連線

  • 您可以將媒體訪問控制安全性 (MACsec) 加密套用至 ExpressRoute Direct,以達到網路加密。

  • 當 Azure 流量在資料中心之間移動時,會在基礎網路硬體上使用 MACsec 數據連結層加密,而不受Microsoft或代表Microsoft控制。 這適用於虛擬網路對等互連流量。

設計建議

說明加密流程的圖表。

圖 1:加密流程。

  • 當您使用 VPN 閘道從內部部署到 Azure 建立 VPN 連線時,流量會透過 IPsec 通道在通訊協定層級加密。 上圖顯示此流程 A中的加密。

  • 如果您需要將相同虛擬網路或跨區域或全域對等互連虛擬網路中的 VM 對 VM 流量加密,請使用 虛擬網絡 加密

  • 當您使用 ExpressRoute Direct 時,請設定 MACsec ,以加密組織路由器與 MSEE 之間的第 2 層流量。 此圖表顯示此流程 B中的加密。

  • 對於MACsec不是選項的虛擬WAN案例(例如,不使用ExpressRoute Direct),請使用虛擬 WAN VPN 閘道 透過 ExpressRoute 私人對等互連建立 IPsec 通道。 此圖表顯示此流程 C中的加密。

  • 針對非虛擬 WAN 案例,以及 MACsec 不是選項(例如,不使用 ExpressRoute Direct),唯一的選項為:

    • 使用合作夥伴 NVA 透過 ExpressRoute 私人對等互連建立 IPsec 通道。
    • 使用Microsoft對等互連,透過 ExpressRoute 建立 VPN 通道。
    • 評估透過 ExpressRoute 私人對等互連設定站對站 VPN 連線的功能。

  • 如果原生 Azure 解決方案(如流程 BC 圖表所示)不符合您的需求,請使用 Azure 中的合作夥伴 NVA 透過 ExpressRoute 私人對等互連來加密流量。