Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette section explore les principales recommandations pour obtenir un chiffrement de réseau entre sites locaux et Azure, ainsi que dans des régions Azure.
Considérations sur la conception
Le coût et la bande passante disponible sont inversement proportionnels à la longueur du tunnel de chiffrement entre les points de terminaison.
Le chiffrement de réseau virtuel Azure améliore les fonctionnalités de chiffrement en transit existantes dans Azure et permet un chiffrement et un déchiffrement de trafic transparents entre des machines virtuelles et des groupes de machines virtuelles identiques.
Lorsque vous utilisez un VPN pour vous connecter à Azure, le trafic est chiffré sur Internet via des tunnels IPsec.
Lors de l’utilisation d’Azure ExpressRoute avec un peering privé, le trafic n’est pas actuellement chiffré.
Il est possible de configurer une connexion VPN site-à-site via un peering privé ExpressRoute.
Vous pouvez appliquer un chiffrement MACsec (Media Access Control Security) à ExpressRoute Direct pour obtenir le chiffrement réseau.
Quand le trafic Azure se déplace entre des centres de données (hors limites physiques non contrôlées par Microsoft ou pour le compte de Microsoft), le chiffrement de la couche de liaison de données MACsec est utilisé sur le matériel réseau sous-jacent. Cela s’applique au trafic de peering de réseaux virtuels.
Recommandations de conception
Diagramme illustrant les flux de chiffrement.
Figure 1 : Flux de chiffrement.
Lors de l’établissement de connexions VPN à partir d’un emplacement local vers Azure à l’aide de passerelles VPN, le trafic est chiffré au niveau du protocole via des tunnels IPsec. Le diagramme précédent illustre ce chiffrement dans un flow
A.Si vous devez chiffrer le trafic de machine virtuelle à machine virtuelle dans le même réseau virtuel ou sur des réseaux virtuels appairés régionaux ou globaux, utilisez le chiffrement de réseau virtuel.
Quand vous utilisez ExpressRoute Direct, configurez MACsec de façon à chiffrer le trafic au niveau de la couche 2 entre les routeurs et le MSEE de votre organisation. Le diagramme illustre ce chiffrement dans le flux
B.Pour les scénarios où MACsec n’est pas une option dans Virtual WAN (par exemple, si vous n’utilisez pas ExpressRoute Direct), utilisez une passerelle VPN de Virtual WAN pour établir des tunnels IPsec via une connexion privée ExpressRoute. Le diagramme illustre ce chiffrement dans le flux
C.Pour les scénarios autres que Virtual WAN, et où MACsec n’est pas une option (par exemple, n’utilisant pas ExpressRoute direct), les seules options sont les suivantes :
- utiliser des appliances virtuelles réseau de partenaires pour établir des tunnels IPsec sur un appairage privé ExpressRoute.
- établir un tunnel VPN sur ExpressRoute avec un appairage Microsoft.
- Évaluez la capacité à configurer une connexion VPN site à site via un peering privé ExpressRoute.
Si des solutions Azure natives (comme dans flux
BetCillustrés dans le diagramme) ne répondent pas à vos besoins, utilisez des appliances virtuelles réseau de partenaires dans Azure pour chiffrer le trafic sur l’appairage privé ExpressRoute.