Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье рассматриваются основные рекомендации по шифрованию сети между локальной средой и Azure, а также в регионах Azure.
Рекомендации по проектированию
Стоимость и доступная пропускная способность обратно пропорционально длине туннеля шифрования между конечными точками.
Шифрование виртуальной сети Azure улучшает существующие возможности шифрования при передаче данных в Azure и позволяет легко шифровать и расшифровывать трафик между виртуальными машинами (VMs) и масштабируемыми наборами виртуальных машин.
Если вы используете VPN для подключения к Azure, трафик шифруется через Интернет туннель IPsec.
При использовании Azure ExpressRoute с частным пирингом трафик в настоящее время не шифруется.
Можно настроить VPN-подключение типа сеть — сеть через частный пиринг ExpressRoute.
Вы можете применить шифрование управления доступом к данным (MACsec) к ExpressRoute Direct, чтобы обеспечить шифрование сети.
Когда трафик Azure перемещается между центрами обработки данных (за пределами физических границ, которые не управляются корпорацией Майкрософт или от имени корпорации Майкрософт), на базовом сетевом оборудовании используется шифрование уровня канала данных MACsec. Это применяется к трафику виртуальной сети, связанному с пирингом.
Рекомендации по проектированию
Схема, иллюстрирующая потоки шифрования.
Рис. 1.: Потоки шифрования.
При установке VPN-подключений из локальной среды в Azure с помощью VPN-шлюзов, трафик шифруется на уровне протокола через туннели IPsec. На предыдущей схеме показано это шифрование в потоке .
Если необходимо зашифровать трафик между виртуальными машинами в одной виртуальной сети или между региональными или глобальными одноранговыми виртуальными сетями, используйте шифрование виртуальных сетей.
Если вы используете ExpressRoute Direct, настройте MACsec для шифрования трафика на канальном уровне (уровень 2) между маршрутизаторами вашей организации и MSEE. На схеме показано шифрование в потоке
B.В сценариях виртуальной глобальной сети, где MACsec недоступен (например, не используется ExpressRoute Direct), используйте VPN-шлюз виртуальной глобальной сети для создания туннелей IPSec через частный пиринг ExpressRoute. На схеме показано это шифрование в потоке
C.Для сценариев невиртуальной глобальной сети и там, где MACsec не является параметром (например, не используется протокол ExpressRoute Direct), доступны следующие параметры:
- Используйте виртуальные сетевые модули (NVA) партнеров для установки туннелей IPsec через частный пиринг ExpressRoute.
- Настройте VPN-туннель через ExpressRoute с пирингом Microsoft.
- Оцените способность настроить подключение типа "межсетевое" VPN через ExpressRoute частный пиринг.
Если собственные решения Azure (как показано в потоках
BиCна схеме) не соответствуют вашим требованиям, используйте партнерские NVA в Azure для шифрования трафика через частный пиринг ExpressRoute.