Ağ şifreleme gereksinimlerini tanımlama

  • Makale

Bu bölümde şirket içi ve Azure ile Azure bölgeleri arasında ağ şifrelemesi elde etmek için temel öneriler incelanmaktadır.

Tasarımla ilgili dikkat edilecek noktalar

  • Maliyet ve kullanılabilir bant genişliği, uç noktalar arasındaki şifreleme tünelinin uzunluğuyla ters orantılıdır.

  • Azure Sanal Ağ şifrelemesi, Azure'daki mevcut aktarım sırasında şifreleme özelliklerini geliştirir ve sanal makineler (VM) ile sanal makine ölçek kümeleri arasında sorunsuz trafik şifrelemesi ve şifre çözme olanağı sağlar.

  • Azure'a bağlanmak için BIR VPN kullandığınızda, trafik İnternet üzerinden IPsec tünelleri aracılığıyla şifrelenir.

  • Azure ExpressRoute'u özel eşlemeyle kullanırken trafik şu anda şifrelenmez.

  • ExpressRoute özel eşlemesi üzerinden siteden siteye VPN bağlantısı yapılandırmak mümkündür.

  • Ağ şifrelemesi elde etmek için ExpressRoute Direct'e medya erişim denetimi güvenliği (MACsec) şifrelemesi uygulayabilirsiniz.

  • Azure trafiği veri merkezleri arasında hareket ettiğinde (fiziksel sınırların dışında Microsoft tarafından veya Microsoft adına denetlenmediğinde), temel alınan ağ donanımında MACsec veri bağlantısı katmanı şifrelemesi kullanılır. Bu, sanal ağ eşleme trafiği için geçerlidir.

Tasarım önerileri

Şifreleme akışlarını gösteren diyagram.

Şekil 1: Şifreleme akışları.

  • VPN ağ geçitlerini kullanarak şirket içinden Azure'a VPN bağlantıları kurarken, trafik IPsec tünelleri aracılığıyla protokol düzeyinde şifrelenir. Yukarıdaki diyagramda bu şifreleme akışında Agösterilir.

  • Aynı sanal ağda veya bölgesel veya genel eşlenmiş sanal ağlarda VM'ler arası trafiği şifrelemeniz gerekiyorsa Sanal Ağ şifrelemeyi kullanın.

  • ExpressRoute Direct kullanırken, kuruluşunuzun yönlendiricileri ile MSEE arasındaki Katman 2'deki trafiği şifrelemek için MACsec'i yapılandırın. Diyagramda bu şifreleme akışı gösterilmektedir B.

  • MACsec'in bir seçenek olmadığı (örneğin, ExpressRoute Direct'i kullanmadığı) Sanal WAN senaryolar için ExpressRoute özel eşlemesi üzerinden IPsec tünelleri oluşturmak için Sanal WAN VPN Gateway kullanın. Diyagramda bu şifreleme akışı gösterilmektedir C.

  • Sanal WAN olmayan senaryolarda ve MACsec'in bir seçenek olmadığı durumlarda (örneğin, ExpressRoute Direct'i kullanmadığınızda), tek seçenekler şunlardır:

    • ExpressRoute özel eşlemesi üzerinden IPsec tünelleri oluşturmak için iş ortağı NVA'larını kullanın.
    • Microsoft eşlemesi ile ExpressRoute üzerinden bir VPN tüneli oluşturun.
    • ExpressRoute özel eşlemesi üzerinden Siteden Siteye VPN bağlantısı yapılandırma özelliğini değerlendirin.

  • Yerel Azure çözümleri (akışlarda B ve C diyagramda gösterildiği gibi) gereksinimlerinizi karşılamıyorsa, Trafiği ExpressRoute özel eşlemesi üzerinden şifrelemek için Azure'daki iş ortağı NVA'larını kullanın.