Общие сведения о удаленном сетевом подключении

Обзор

Global Secure Access поддерживает два варианта подключения: установка клиента на устройстве конечного пользователя и настройка удаленной сети, например расположение ветви с физическим маршрутизатором. Удаленное сетевое подключение упрощает подключение конечных пользователей и гостей из удаленной сети, не требуя установки клиента глобального безопасного доступа.

В этой статье описываются основные понятия удаленного сетевого подключения, а также распространенные сценарии, в которых это полезно.

Что такое удаленная сеть?

Удаленные сети — это удаленные расположения или сети, требующие подключения к Интернету. Например, многие организации имеют центральные штаб-квартиры и филиалы в разных географических районах. Эти филиалы нуждаются в доступе к корпоративным данным и службам. Им нужен безопасный способ взаимодействия с центром обработки данных, штаб-квартирой и удаленными работниками. Безопасность удаленных сетей имеет решающее значение для многих типов организаций.

Как правило, вы подключаете удаленные сети, такие как филиал, к корпоративной сети через выделенную глобальную сеть (WAN) или подключение виртуальной частной сети (VPN). Сотрудники в расположении филиала подключаются к сети с помощью локального оборудования клиента (CPE).

Текущие проблемы безопасности удаленной сети

Требования к пропускной способности выросли . Количество устройств, требующих доступа к Интернету, увеличивается экспоненциально. Традиционные сети трудно масштабировать. С появлением приложений Software as a Service (SaaS), таких как Microsoft 365, растет потребность в низкой задержке и обмене данными без дрожания, с которыми борются традиционные технологии, такие как широкополосная сеть и мультипротокольная комутация по меткам (MPLS).

ИТ-команды являются дорогостоящими . Как правило, брандмауэры размещаются на физических устройствах локально, что требует ИТ-команды для настройки и обслуживания. Обслуживание ИТ-группы в каждом расположении филиала является дорогостоящим.

Развивающиеся угрозы — вредоносные субъекты продолжают находить новые способы атаковать устройства на краю сетей. Граничные устройства в филиалах или даже домашних офисах часто являются наиболее уязвимой точкой для атак.

Подсказка

Рекомендации по повышению устойчивости удаленных сетей см. в рекомендациях по обеспечению устойчивости удаленной сети глобального безопасного доступа.

Как работает подключение к удаленной сети глобального безопасного доступа?

Чтобы подключить удаленную сеть к глобальному безопасному доступу, настройте туннель безопасности протокола Интернета (IPsec) между локальным оборудованием и конечной точкой глобального безопасного доступа. Перенаправите трафик, указанный через туннель IPsec, в ближайшую конечную точку глобального безопасного доступа. Политики безопасности можно применить в Центр администрирования Microsoft Entra.

Подключение к удаленной сети глобального безопасного доступа обеспечивает безопасное решение между удаленной сетью и службой глобального безопасного доступа. Он не обеспечивает безопасное подключение между одной удаленной сетью и другой. Дополнительные сведения о безопасном подключении к удаленной сети см. в документации Виртуальная глобальная сеть Azure.

Поддерживаемые профили пересылки трафика

Удаленные сети поддерживают различные профили пересылки трафика для получения трафика. Профили перенаправления трафика определяют, какой трафик направляется через глобальный безопасный доступ. Профили безопасности, такие как базовый профиль, определяют, какие политики применяются к полученному трафику.

Профиль пересылки трафика Клиент глобального безопасного доступа Удаленная сеть
Майкрософт трафик ✅ Поддерживается ✅ Поддерживается
Доступ к Интернету ✅ Поддерживается ✅ Поддерживается
Частный доступ ✅ Поддерживается ❌ Не поддерживается.

Это важно

Вы можете назначить профили перенаправления трафика Майкрософт и Internet Access для удаленных сетей. Для профиля пересылки трафика частного доступа требуется клиент Глобального безопасного доступа, установленный на устройствах конечных пользователей. Дополнительные сведения см. в разделе "Назначение профиля трафика удаленной сети " и "Общие сведения о профилях пересылки трафика".

После получения трафика через профиль пересылки примените к нему политики безопасности с помощью профилей безопасности. Базовый профиль безопасности применяет политики на уровне клиента для всего трафика, перенаправленного через глобальный безопасный доступ, включая удаленный сетевой трафик. Для профилей безопасности с учетом пользователя, связанных с политиками условного доступа, требуется клиент Global Secure Access.

Глобальный безопасный доступ применяет профили перенаправления трафика для всех каналов устройств, таких как туннели IPsec, связанные с удаленной сетью. Он перенаправляет только те типы трафика, которые соответствуют включенному и связанному профилю пересылки трафика. Шлюз глобального безопасного доступа удаляет весь остальной трафик.

Это принуждение означает:

  • Если связать только профиль трафика Майкрософт с удаленной сетью, шлюз глобального безопасного доступа удаляет любой не Майкрософт трафик (например, общий интернет-трафик), отправленный по ссылке устройства.
  • Если связать только профиль трафика Internet Access с удаленной сетью, шлюз глобального безопасного доступа отбрасывает любой трафик Майкрософт, отправленный по каналу связи устройства.

Это важно

Чтобы избежать непреднамеренной потери трафика, свяжите оба профиль трафика Майкрософт и профиль трафика Internet Access с вашей удаленной сетью, если это разрешено вашей лицензией. Эта конфигурация гарантирует, что соответствующий профиль обрабатывает весь трафик, перенаправляемый через туннель IPsec, а не автоматически сбрасывает его на шлюзе.

Дополнительные сведения о доступных профилях пересылки трафика и их конфигурации см. в разделе "Профили пересылки трафика глобального безопасного доступа".

Почему для вас важно удаленное сетевое подключение?

Обеспечение безопасности корпоративной сети становится все более сложным в мире удаленной работы и распределенных команд. Служба безопасности Edge (SSE) обещает мир безопасности, где клиенты могут получить доступ к своим корпоративным ресурсам из любой точки мира, не требуя обратной передачи трафика в штаб-квартиру.

Распространенные сценарии подключения к удаленной сети

Я не хочу устанавливать клиенты на тысячи устройств в локальной среде.

Как правило, вы применяете SSE, устанавливая клиент на устройстве. Клиент создает туннель к ближайшей конечной точке SSE и направляет через него весь интернет-трафик. Решения SSE проверяют трафик и применяют политики безопасности. Если ваши пользователи не мобильные и находятся в физическом отделении, удалённое подключение избавляет от необходимости установки клиента на каждом устройстве. Вы можете подключить весь филиал, создав IPSec-туннель между основным маршрутизатором филиала и конечной точкой Глобальной безопасной точки доступа.

Не удается установить клиенты на всех устройствах, принадлежащих моей организации.

Иногда невозможно установить клиент на всех устройствах. Глобальный безопасный доступ в настоящее время предоставляет клиенты для Windows, macOS, Android и iOS. Но что касается Linux, мейнфреймов, камер, принтеров и других типов устройств, которые находятся в локальной среде и отправляют трафик в Интернет? Вам по-прежнему необходимо отслеживать и защищать этот трафик. При подключении удаленной сети можно задать политики для всего трафика из этого расположения, независимо от устройства, на котором он возник.

У меня есть гости в моей сети, у которых нет установленного клиента.

У гостевых устройств в вашей сети может не быть установленного клиента. Чтобы убедиться, что эти устройства соответствуют политикам безопасности сети, вам потребуется трафик, перенаправленный через конечную точку глобального безопасного доступа. Удаленное сетевое подключение решает эту проблему. Вам не нужно устанавливать клиент на гостевых устройствах. По умолчанию весь исходящий трафик из удаленной сети проходит через оценку безопасности.

Что такое распределение пропускной способности для каждого клиента?

Количество приобретенных лицензий определяет общее распределение пропускной способности. Каждая лицензия Microsoft Entra ID P1, лицензия Интернет-доступ Microsoft Entra, и лицензия Microsoft Entra Suite добавляется к общей пропускной способности. Пропускную способность для удаленных сетей можно назначить туннелям IPsec с шагом величиной в 250 Мбит/с, 500 Мбит/с, 750 Мбит/с или 1000 Мбит/с. Эта гибкость означает, что пропускная способность можно выделить для разных удаленных сетевых расположений в зависимости от конкретных потребностей. Для повышения производительности Майкрософт рекомендует настроить по крайней мере два туннеля IPsec для каждого расположения для обеспечения высокой доступности. В следующей таблице показана общая пропускная способность на основе количества приобретенных лицензий.

Начальное выделение пропускной способности

Количество лицензий Общая пропускная способность (Мбит/с)
50 – 99 500 Мбит/с
100 – 499 1000 Мбит/с
500 – 999 2000 Мбит/с
1,000 – 1,499 3500 Мбит/с
1,500 – 1,999 4000 Мбит/с
2,000 – 2,499 4500 Мбит/с
2,500 – 2,999 5000 Мбит/с
3,000 – 3,499 5500 Мбит/с
3,500 – 3,999 6 000 Мбит/с
4,000 – 4,499 6500 Мбит/с
4,500 – 4,999 7 000 Мбит/с
5,000 – 5,499 10 000 Мбит/с
5,500 – 5,999 10 500 Мбит/с
6,000 – 6,499 11 000 Мбит/с
6,500 – 6,999 11500 Мбит/с
7,000 – 7,499 12 000 Мбит/с
7,500 – 7,999 12500 Мбит/с
8,000 – 8,499 13 000 Мбит/с
8,500 – 8,999 13 500 Мбит/с
9,000 – 9,499 14 000 Мбит/с
9,500 – 9,999 14 500 Мбит/с
10 000 + 35 000 Мбит/с +

Примечания к таблице

  • Для использования функции удаленного сетевого подключения требуется не менее 50 лицензий.
  • Количество лицензий — общее количество приобретенных лицензий (Microsoft Entra ID P1 + Интернет-доступ Microsoft Entra / Microsoft Entra Suite). После 10 000 лицензий вы получаете дополнительные 500 Мбит/с для каждых 500 лицензий, которые вы покупаете (например, 11 000 лицензий = 36 000 Мбит/с).
  • Организации, которые выходят за рамки 10 000 лицензий, часто работают в масштабе предприятия и нуждаются в более надежной инфраструктуре. Переход к 35 000 Мбит/с обеспечивает достаточное количество ресурсов для удовлетворения требований таких развертываний, поддерживает более высокие объемы трафика и обеспечивает гибкость для расширения распределения пропускной способности по мере необходимости.
  • Если вам нужна дополнительная пропускная способность, вы можете приобрести дополнительную пропускную способность в размере 500 Мбит/с с помощью SKU удаленной пропускной способности сети.

Примеры выделенной пропускной способности для каждого клиента

Клиент один:

  • 1000 лицензий Microsoft Entra ID P1
  • Выделено: 1000 лицензий, 3500 Мбит/с

Тенант два:

  • 3000 лицензий Microsoft Entra ID P1
  • 3000 лицензий на Доступ к Интернету
  • Выделено: 6 000 лицензий, 11 000 Мбит/с

Три клиента:

  • 8 000 лицензий Microsoft Entra ID P1
  • 6 000 Microsoft Entra Suite лицензий
  • Выделено: 14 000 лицензий, 39 000 Мбит/с

Примеры распределения пропускной способности для удаленных сетей

Тенант один:

Общая пропускная способность: 3500 Мбит/с

Распределение:

  • Сайт A: 2 туннеля IPsec: 2 x 250 Мбит/с = 500 Мбит/с
  • Сайт B: 2 туннеля IPsec: 2 x 250 Мбит/с = 500 Мбит/с
  • Сайт C: 2 туннеля IPsec: 2 x 500 Мбит/с = 1000 Мбит/с
  • Сайт D: 2 туннеля IPsec: 2 x 750 Мбит/с = 1500 Мбит/с

Оставшаяся пропускная способность: Нет

Клиент два:

Общая пропускная способность: 11 000 Мбит/с

Распределение:

  • Сайт A: 2 туннеля IPsec: 2 x 250 Мбит/с = 500 Мбит/с
  • Сайт B: 2 туннеля IPsec: 2 x 500 Мбит/с = 1000 Мбит/с
  • Сайт C: 2 туннеля IPsec: 2 x 750 Мбит/с = 1500 Мбит/с
  • Сайт D: 2 туннеля IPsec: 2 x 1000 Мбит/с = 2000 Мбит/с
  • Сайт E: 2 туннеля IPsec: 2 x 1000 Мбит/с = 2000 Мбит/с

Оставшаяся пропускная способность: 4000 Мбит/с

Арендатор третий:

Общая пропускная способность: 39 000 Мбит/с

Распределение:

  • Сайт A: 2 туннеля IPsec: 2 x 250 Мбит/с = 500 Мбит/с
  • Сайт B: 2 туннеля IPsec: 2 x 500 Мбит/с = 1000 Мбит/с
  • Сайт C: 2 туннеля IPsec: 2 x 750 Мбит/с = 1500 Мбит/с
  • Сайт D: 2 туннеля IPsec: 2 x 750 Мбит/с = 1500 Мбит/с
  • Сайт E: 2 туннеля IPsec: 2 x 1000 Мбит/с = 2000 Мбит/с
  • Сайт F: 2 туннеля IPsec: 2 x 1000 Мбит/с = 2000 Мбит/с
  • Site G: 2 туннеля IPsec: 2 x 1000 Мбит/с = 2000 Мбит/с

Оставшаяся пропускная способность: 28 500 Мбит/с

Следующие шаги