Ниже приведены ответы на распространенные вопросы об использовании шифрования виртуальной сети Azure.
Можно ли включить шифрование виртуальной сети в существующей виртуальной сети, виртуальной машине, сетевом интерфейсе или группе безопасности сети?
Да. Дополнительные сведения о включении шифрования виртуальной сети в существующей виртуальной сети см. в разделе "Включение шифрования".
Как проверить шифрование данных?
Проверка шифрования ограничивается состоянием ресурса сетевого интерфейса, функции vnetEncryptionSupported и ускоренной работы сети во время общедоступной предварительной версии. После общедоступной предварительной версии журналы потоков виртуальной сети можно использовать для просмотра зашифрованных и незашифрованных потоков между виртуальными машинами.
Почему пакеты удаляются в зашифрованных виртуальных сетях и как это предотвратить?
Фрагментированные пакеты UDP не загружаются на оборудование и поэтому удаляются. Чтобы избежать этого, убедитесь, что флаг "Не фрагментировать" (DF) установлен, и пакеты не фрагментируются при выходе из виртуальной машины. Пакеты, превышающие ограничение MTU, будут удалены, а не фрагментированы".
Какой сертификат используется для создания DTLS на узле Azure?
Корпорация Майкрософт управляет и создает сертификаты для каждого региона. Предоставленные клиентом сертификаты являются функцией на дорожной карте.
Что такое эффект производительности?
Существует минимальный эффект на производительность, связанный с пропускной способностью и полосой пропускания. Операции шифрования выгружаются в специализированную для криптографии ПЛИС. Существует минимальное влияние на начальное подключение между двумя виртуальными машинами, так как необходимо установить туннель.
Поддерживается ли VPN-шлюз, шлюз приложений, брандмауэр Azure или PaaS?
Он зависит от базового размера виртуальной машины, используемого PaaS, и требует включения ускорения сети.
Где завершается шифрование?
Шифрование завершается в SmartNIC/FPGA на узле Azure.
Поддерживается ли соответствие FIPS-140 шифрованию виртуальной сети?
FIPS-140 — это приверженность Azure к аккредитации FedRAMP. Точка подтверждения использования шифрования в Azure охватывается сертификацией FedRAMP для всех Azure, включая шифрование виртуальной сети Azure. Дополнительные сведения о общедоступном руководстве Azure по FIPS-140 см. в статье "Федеральный стандарт обработки информации" (FIPS) 140. Дополнительные сведения о PCI, HIPAA и FedRAMP в контексте Azure см. на портале управления безопасностью служб.
Как определяется стоимость шифрования виртуальной сети?
Шифрование виртуальной сети Azure — это бесплатная функция, предлагаемая в подписке Azure в виртуальной сети Azure. Стандартные расходы применимы для ресурсов, таких как виртуальные машины и другие продукты, которые вы используете.
Поддерживается ли асимметричное шифрование для сценария, в котором включено одно направление шифрования и обратное шифрование отключено?
Асимметричное шифрование может произойти, если существует асимметричная маршрутизация и трафик передается в одном направлении и не зашифрован в другом направлении. Асимметричное шифрование не поддерживается и не рекомендуется.