Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Overzicht
Global Secure Access ondersteunt twee connectiviteitsopties: het installeren van een client op een apparaat van een eindgebruiker en het configureren van een extern netwerk, zoals een vertakkingslocatie met een fysieke router. Externe netwerkconnectiviteit stroomlijnt de manier waarop uw eindgebruikers en gasten verbinding maken vanuit een extern netwerk zonder dat u de Global Secure Access-client hoeft te installeren.
In dit artikel worden de belangrijkste concepten van externe netwerkconnectiviteit beschreven, samen met veelvoorkomende scenario's waarin dit nuttig is.
Wat is een extern netwerk?
Externe netwerken zijn externe locaties of netwerken waarvoor internetverbinding is vereist. Veel organisaties hebben bijvoorbeeld een centraal hoofdkantoor en filialen in verschillende geografische gebieden. Deze filialen hebben toegang nodig tot bedrijfsgegevens en -services. Ze hebben een veilige manier nodig om te communiceren met het datacenter, hoofdkantoor en externe werknemers. De beveiliging van externe netwerken is van cruciaal belang voor veel soorten organisaties.
Normaal gesproken verbindt u externe netwerken, zoals een vertakkingslocatie, met het bedrijfsnetwerk via een toegewezen WAN (Wide Area Network) of een VPN-verbinding (Virtual Private Network). Werknemers in het filiaal maken verbinding met het netwerk met behulp van klantapparatuur (CPE).
Huidige uitdagingen van externe netwerkbeveiliging
Bandbreedtevereisten zijn toegenomen : het aantal apparaten dat internettoegang vereist, neemt exponentieel toe. Traditionele netwerken zijn moeilijk te schalen. Met de komst van SaaS-toepassingen (Software as a Service), zoals Microsoft 365, zijn er steeds groeiende eisen voor lage latentie en jitter-vrije communicatie waarmee traditionele technologieën zoals Wide Area Network (WAN) en Multi-Protocol Label Switching (MPLS) moeite hebben.
IT-teams zijn duur . Meestal plaatst u firewalls op fysieke apparaten on-premises, waarvoor een IT-team nodig is voor installatie en onderhoud. Het onderhouden van een IT-team op elke vertakkingslocatie is duur.
Veranderende bedreigingen : kwaadwillende actoren blijven nieuwe manieren vinden om de apparaten aan de rand van netwerken aan te vallen. Edge-apparaten in filialen of zelfs thuiskantoren zijn vaak het kwetsbaarste aanvalspunt.
Aanbeveling
Zie Best practices voor de veerkracht van externe netwerken bij wereldwijde veilige toegang voor richtlijnen om de veerkracht van externe netwerken te verbeteren.
Hoe werkt Global Secure Access voor externe netwerkconnectiviteit?
Als u een extern netwerk wilt verbinden met Global Secure Access, stelt u een IPsec-tunnel (Internet Protocol Security) in tussen uw on-premises apparatuur en het global Secure Access-eindpunt. Routeer het verkeer dat u opgeeft via de IPsec-tunnel naar het dichtstbijzijnde global Secure Access-eindpunt. U kunt beveiligingsbeleid toepassen in de Microsoft Entra-beheercentrum.
Global Secure Access remote network connectivity biedt een veilige oplossing tussen een extern netwerk en de Global Secure Access-service. Het biedt geen beveiligde verbinding tussen het ene externe netwerk en het andere. Zie de documentatie Azure Virtual WAN voor meer informatie over beveiligde externe netwerk-naar-externe netwerkconnectiviteit.
Ondersteunde profielen voor het doorsturen van verkeer
Externe netwerken ondersteunen verschillende profielen voor het doorsturen van verkeer voor het verwerven van verkeersgegevens. Profielen voor het doorsturen van verkeer bepalen welk verkeer door Global Secure Access gerouteerd wordt. Beveiligingsprofielen, zoals het basislijnprofiel, bepalen welke beleidsregels worden toegepast op dat verkregen verkeer.
| Profiel voor het doorsturen van verkeer | Global Secure Access-client | Extern netwerk |
|---|---|---|
| Microsoft verkeer | ✅ Ondersteund | ✅ Ondersteund |
| Internettoegang | ✅ Ondersteund | ✅ Ondersteund |
| Privétoegang | ✅ Ondersteund | ❌ Niet ondersteund |
Belangrijk
U kunt de verkeerdoorstuurprofielen voor Microsoft-verkeer en Internettoegang toewijzen aan externe netwerken. Voor het profiel voor het doorsturen van privétoegangsverkeer moet de Global Secure Access-client zijn geïnstalleerd op apparaten van eindgebruikers. Zie Een verkeersprofiel toewijzen aan een extern netwerk en Profielen voor het doorsturen van verkeer begrijpen voor meer informatie.
Nadat u verkeer via een doorstuurprofiel hebt verkregen, past u er beveiligingsbeleid op toe met behulp van beveiligingsprofielen. Het basisbeveiligingsprofiel dwingt beleidsregels af op tenantniveau voor al het verkeer dat wordt gerouteerd via Global Secure Access, inclusief extern netwerkverkeer. Gebruikersbewuste beveiligingsprofielen die zijn gekoppeld aan beleid voor voorwaardelijke toegang, vereisen de global Secure Access-client.
Afdwingen van verkeersprofielen op externe netwerkapparaatkoppelingen
Global Secure Access handhaaft doorstuurprofielen voor verkeer voor alle apparaatkoppelingen, zoals IPsec-tunnels, die zijn geassocieerd met een extern netwerk. Hiermee worden alleen verkeerstypen doorgestuurd die overeenkomen met een ingeschakeld en gekoppeld profiel voor het doorsturen van verkeer. De global Secure Access-gateway laat al het andere verkeer vallen.
Deze handhaving betekent:
- Als u alleen het Microsoft-verkeersprofiel koppelt aan een extern netwerk, wordt al het niet-Microsoft-verkeer (zoals algemeen internetverkeer) dat via de apparaatkoppeling wordt verzonden, door de Global Secure Access-gateway gedropt.
- Als u alleen het Internet Access-verkeersprofiel koppelt aan een extern netwerk, verwijdert de Global Secure Access-gateway alle Microsoft verkeer dat via de apparaatkoppeling wordt verzonden.
Belangrijk
Als u onbedoeld verkeerverlies wilt voorkomen, koppelt u both het Microsoft-verkeersprofiel en het Internet Access-verkeersprofiel aan uw externe netwerk als uw licentie dit toestaat. Deze configuratie zorgt ervoor dat het juiste profiel al het verkeer verwerkt dat wordt doorgestuurd via de IPsec-tunnel in plaats van het op de achtergrond neer te leggen bij de gateway.
Zie Global Secure Access-profielen voor het doorsturen van verkeer voor meer informatie over beschikbare profielen voor het doorsturen van verkeer en hun configuratie.
Waarom is externe netwerkverbinding belangrijk voor u?
Het onderhouden van de beveiliging van een bedrijfsnetwerk is steeds moeilijker in een wereld van extern werk en gedistribueerde teams. Security Service Edge (SSE) belooft een beveiligingswereld waar klanten overal ter wereld toegang hebben tot hun bedrijfsbronnen zonder dat ze hun verkeer naar het hoofdkantoor hoeven te backhauleren.
Algemene scenario's voor externe netwerkconnectiviteit
Ik wil geen clients installeren op duizenden apparaten on-premises.
Over het algemeen dwingt u SSE af door de client op een apparaat te installeren. De client maakt een tunnel naar het dichtstbijzijnde SSE-eindpunt en stuurt al het internetverkeer erdoor. SSE-oplossingen inspecteren het verkeer en dwingen beveiligingsbeleid af. Als uw gebruikers niet mobiel zijn en zijn gebaseerd op een fysieke vertakkingslocatie, verwijdert u de pijn van het installeren van de client op elk apparaat via een externe netwerkverbinding voor die vertakkingslocatie. U kunt de hele vertakkingslocatie verbinden door een IPSec-tunnel te maken tussen de kernrouter van het filiaal en het eindpunt global Secure Access.
Ik kan geen clients installeren op alle apparaten die mijn organisatie bezit.
Soms kunt u de client niet installeren op alle apparaten. Global Secure Access biedt momenteel clients voor Windows, macOS, Android en iOS. Maar hoe zit het met Linux, mainframes, camera's, printers en andere typen apparaten die on-premises zijn en verkeer naar internet verzenden? U moet dit verkeer nog steeds bewaken en beveiligen. Wanneer u een extern netwerk verbindt, kunt u beleidsregels instellen voor al het verkeer vanaf die locatie, ongeacht het apparaat waar het vandaan komt.
Ik heb gasten op mijn netwerk die de client niet hebben geïnstalleerd.
Op gastapparaten in uw netwerk is de client mogelijk niet geïnstalleerd. Om ervoor te zorgen dat deze apparaten voldoen aan uw netwerkbeveiligingsbeleid, hebt u het verkeer nodig dat wordt gerouteerd via het global Secure Access-eindpunt. Externe netwerkconnectiviteit lost dit probleem op. U hoeft de client niet te installeren op gastapparaten. Al het uitgaande verkeer van het externe netwerk doorloopt standaard beveiligingsevaluatie.
Wat is de bandbreedtetoewijzing voor elke tenant?
Het aantal licenties dat u koopt, bepaalt de totale bandbreedtetoewijzing. Elke Microsoft Entra ID P1-licentie, Microsoft Entra Internettoegang licentie en Microsoft Entra Suite licentie wordt toegevoegd aan uw totale bandbreedte. U kunt bandbreedte voor externe netwerken toewijzen aan IPsec-tunnels in stappen van 250 Mbps, 500 Mbps, 750 Mbps of 1000 Mbps. Deze flexibiliteit betekent dat u bandbreedte kunt toewijzen aan verschillende externe netwerklocaties op basis van uw specifieke behoeften. Voor de beste prestaties raadt Microsoft aan om ten minste twee IPsec-tunnels per locatie te configureren voor hoge beschikbaarheid. In de volgende tabel ziet u de totale bandbreedte op basis van het aantal licenties dat u aanschaft.
Initiële bandbreedtetoewijzing
| Aantal licenties | Totale bandbreedte (Mbps) |
|---|---|
| 50 – 99 | 500 Mbps |
| 100 – 499 | 1000 Mbps |
| 500 – 999 | 2000 Mbps |
| 1,000 – 1,499 | 3500 Mbps |
| 1,500 – 1,999 | 4000 Mbps |
| 2,000 – 2,499 | 4500 Mbps |
| 2,500 – 2,999 | 5000 Mbps |
| 3,000 – 3,499 | 5500 Mbps |
| 3,500 – 3,999 | 6000 Mbps |
| 4,000 – 4,499 | 6500 Mbps |
| 4,500 – 4,999 | 7000 Mbps |
| 5,000 – 5,499 | 10.000 Mbps |
| 5,500 – 5,999 | 10.500 Mbps |
| 6,000 – 6,499 | 11.000 Mbps |
| 6,500 – 6,999 | 11.500 Mbps |
| 7,000 – 7,499 | 12.000 Mbps |
| 7,500 – 7,999 | 12.500 Mbps |
| 8,000 – 8,499 | 13.000 Mbps |
| 8,500 – 8,999 | 13.500 Mbps |
| 9,000 – 9,499 | 14.000 Mbps |
| 9,500 – 9,999 | 14.500 Mbps |
| 10.000 + | 35.000 Mbps + |
tabelnotities
- U hebt ten minste 50 licenties nodig om de functie voor externe netwerkconnectiviteit te gebruiken.
- Het aantal licenties is het totale aantal licenties dat u aanschaft (Microsoft Entra ID P1 + Microsoft Entra Internettoegang/Microsoft Entra Suite). Na 10.000 licenties krijgt u een extra 500 Mbps voor elke 500 licenties die u koopt (bijvoorbeeld 11.000 licenties = 36.000 Mbps).
- Organisaties die meer dan 10.000 licenties hebben, werken vaak op ondernemingsniveau en hebben een robuustere infrastructuur nodig. De sprong naar 35.000 Mbps zorgt voor voldoende capaciteit om te voldoen aan de vereisten van dergelijke implementaties, ondersteunt hogere verkeersvolumes en biedt de flexibiliteit om zo nodig bandbreedtetoewijzingen uit te breiden.
- Als u meer bandbreedte nodig hebt, kunt u extra bandbreedte kopen in stappen van 500 Mbps via de SKU voor externe netwerkbandbreedte.
Voorbeelden van toegewezen bandbreedte per tenant
Tenant 1:
- 1000 Microsoft Entra ID P1-licenties
- Toegewezen: 1000 licenties, 3500 Mbps
Tenant twee:
- 3000 Microsoft Entra ID P1-licenties
- 3000 licenties voor internettoegang
- Toegewezen: 6.000 licenties, 11.000 Mbps
Tenant drie:
- 8.000 Microsoft Entra ID P1-licenties
- 6.000 Microsoft Entra Suite licenties
- Toegewezen: 14.000 licenties, 39.000 Mbps
Voorbeelden van bandbreedtedistributie voor externe netwerken
Tenant één:
Totale bandbreedte: 3 500 Mbps
Toewijzing:
- Site A: 2 IPsec-tunnels: 2 x 250 Mbps = 500 Mbps
- Site B: 2 IPsec-tunnels: 2 x 250 Mbps = 500 Mbps
- Site C: 2 IPsec-tunnels: 2 x 500 Mbps = 1.000 Mbps
- Site D: 2 IPsec-tunnels: 2 x 750 Mbps = 1500 Mbps
Resterende bandbreedte: geen
Tenant 2:
Totale bandbreedte: 11.000 Mbps
Toewijzing:
- Site A: 2 IPsec-tunnels: 2 x 250 Mbps = 500 Mbps
- Site B: 2 IPsec-tunnels: 2 x 500 Mbps = 1.000 Mbps
- Site C: 2 IPsec-tunnels: 2 x 750 Mbps = 1500 Mbps
- Site D: 2 IPsec-tunnels: 2 x 1.000 Mbps = 2.000 Mbps
- Site E: 2 IPsec-tunnels: 2 x 1.000 Mbps = 2.000 Mbps
Resterende bandbreedte: 4.000 Mbps
Tenant drie:
Totale bandbreedte: 39.000 Mbps
Toewijzing:
- Site A: 2 IPsec-tunnels: 2 x 250 Mbps = 500 Mbps
- Site B: 2 IPsec-tunnels: 2 x 500 Mbps = 1.000 Mbps
- Site C: 2 IPsec-tunnels: 2 x 750 Mbps = 1500 Mbps
- Site D: 2 IPsec-tunnels: 2 x 750 Mbps = 1500 Mbps
- Site E: 2 IPsec-tunnels: 2 x 1.000 Mbps = 2.000 Mbps
- Site F: 2 IPsec-tunnels: 2 x 1.000 Mbps = 2.000 Mbps
- Site G: 2 IPsec-tunnels: 2 x 1.000 Mbps = 2.000 Mbps
Resterende bandbreedte: 28.500 Mbps