Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Visão geral
O Acesso Seguro Global dá suporte a duas opções de conectividade: instalar um cliente em um dispositivo de usuário final e configurar uma rede remota, como um local de branch com um roteador físico. A conectividade de rede remota simplifica como seus usuários finais e convidados se conectam de uma rede remota sem a necessidade de instalar o Cliente de Acesso Seguro Global.
Esse artigo descreve os principais conceitos de conectividade de rede remota, juntamente com cenários comuns em que é útil.
O que é uma rede remota?
Redes remotas são locais remotos ou redes que exigem conectividade com a Internet. Por exemplo, muitas organizações têm uma sede central e filiais em diferentes áreas geográficas. Essas filiais precisam de acesso a dados e serviços corporativos. Eles precisam de uma maneira segura de se comunicar com o data center, a sede e os trabalhadores remotos. A segurança de redes remotas é crucial para muitos tipos de organizações.
Normalmente, você conecta redes remotas, como uma localização de branch, à rede corporativa por meio de uma WAN (Rede de Ampla Área) dedicada ou uma conexão VPN (Rede Virtual Privada). Os funcionários na localização da filial se conectam à rede usando o CPE (equipamento local do cliente).
Desafios atuais da segurança de rede remota
Os requisitos de largura de banda aumentaram – o número de dispositivos que exigem acesso à Internet está aumentando exponencialmente. Redes tradicionais são difíceis de dimensionar. Com o advento de aplicativos SaaS (Software como Serviço), como o Microsoft 365, há uma demanda crescente por comunicação com baixa latência e sem instabilidade, desafios que tecnologias tradicionais como WAN (Rede de Ampla Área) e MPLS (Comutação de Rótulos Multi-protocolo) enfrentam.
As equipes de TI são caras – normalmente, você coloca firewalls em dispositivos físicos locais, o que requer uma equipe de TI para instalação e manutenção. Manter uma equipe de TI em cada filial é caro.
Ameaças em evolução – atores mal-intencionados continuam a encontrar novos caminhos para atacar os dispositivos na borda das redes. Os dispositivos de borda em filiais ou até mesmo home offices geralmente são o ponto de ataque mais vulnerável.
Dica
Para obter diretrizes sobre como melhorar a resiliência de redes remotas, consulte As práticas recomendadas para resiliência de rede remota do Acesso Seguro Global.
Como funciona a conectividade de rede remota do Acesso Seguro Global?
Para conectar uma rede remota ao Acesso Seguro Global, configure um túnel IPsec (Segurança de Protocolo de Internet) entre seu equipamento local e o ponto de extremidade de Acesso Seguro Global. Direcione o tráfego que você especificar pelo túnel IPsec para o ponto de extremidade do Acesso Seguro Global mais próximo. Você pode aplicar políticas de segurança no centro de administração do Microsoft Entra.
A conectividade de rede remota do Acesso Seguro Global fornece uma solução segura entre uma rede remota e o serviço de Acesso Seguro Global. Ele não fornece uma conexão segura entre uma rede remota e outra. Para obter mais informações sobre conectividade de rede remota segura para rede remota, consulte a documentação WAN Virtual do Azure.
Perfis de encaminhamento de tráfego com suporte
Redes remotas oferecem suporte a diferentes perfis de roteamento de tráfego para aquisição de tráfego. Os perfis de encaminhamento de tráfego controlam qual tráfego é roteado por meio do Acesso Seguro Global. Perfis de segurança, como o perfil de linha de base, controlam quais políticas são aplicadas a esse tráfego adquirido.
| Perfil de encaminhamento de tráfego | Cliente do Acesso Global Seguro | Rede remota |
|---|---|---|
| tráfego da Microsoft | ✅ Com suporte | ✅ Com suporte |
| Acesso à Internet | ✅ Com suporte | ✅ Com suporte |
| Acesso Privado | ✅ Com suporte | ❌ Sem suporte |
Importante
Você pode atribuir os perfis de encaminhamento de tráfego de tráfego da Microsoft e Acesso à internet a redes remotas. O perfil de encaminhamento de tráfego do Acesso Privado requer o cliente de Acesso Seguro Global instalado em dispositivos de usuário final. Para obter mais informações, consulte Atribuir um perfil de tráfego a uma rede remota e entender perfis de encaminhamento de tráfego.
Após obter o tráfego por meio de um perfil de encaminhamento, aplique então políticas de segurança a ele usando perfis de segurança. O perfil de segurança de linha de base impõe políticas no nível do locatário para todo o tráfego roteado por meio do Acesso Seguro Global, incluindo o tráfego de rede remota. Perfis de segurança com reconhecimento de usuário vinculados às políticas de Acesso Condicional exigem o cliente de Acesso Seguro Global.
Aplicação de perfil de tráfego em links de dispositivos de rede remotos
O Acesso Seguro Global impõe perfis de encaminhamento de tráfego para todos os links de dispositivo, como túneis IPsec, associados a uma rede remota. Ele encaminha apenas tipos de tráfego que correspondem a um perfil de encaminhamento de tráfego habilitado e associado. O gateway de Acesso Seguro Global descarta todo o outro tráfego.
Essa imposição significa:
- Se você associar apenas o perfil de tráfego Microsoft a uma rede remota, o gateway de Acesso Seguro Global removerá qualquer tráfego não Microsoft (como tráfego geral da Internet) enviado pelo link do dispositivo.
- Se você associar apenas o perfil de tráfego Internet Access a uma rede remota, o gateway de Acesso Seguro Global descartará qualquer tráfego Microsoft enviado pelo link do dispositivo.
Importante
Para evitar perda de tráfego não intencional, associe both o perfil de tráfego Microsoft e o perfil de tráfego Internet Access à sua rede remota se sua licença permitir. Essa configuração garante que o perfil apropriado manipule todo o tráfego encaminhado pelo túnel IPsec em vez de deixá-lo silenciosamente no gateway.
Para obter detalhes sobre perfis de encaminhamento de tráfego disponíveis e sua configuração, consulte perfis de encaminhamento de tráfego do Acesso Seguro Global.
Por que a conectividade de rede remota é importante para você?
Manter a segurança de uma rede corporativa é cada vez mais difícil em um mundo de trabalho remoto e equipes distribuídas. O SSE (Security Service Edge) promete um mundo de segurança em que os clientes podem acessar seus recursos corporativos de qualquer lugar do mundo sem a necessidade de fazer backup do tráfego para a sede.
Cenários comuns de conectividade de rede remota
Não quero instalar clientes em milhares de dispositivos locais.
Em geral, você impõe a SSE instalando o cliente em um dispositivo. O cliente cria um túnel para o ponto de extremidade SSE mais próximo e roteia todo o tráfego da Internet através dele. As soluções SSE inspecionam o tráfego e impõem políticas de segurança. Se os usuários não forem móveis e estiverem baseados em uma filial física, a conectividade de rede remota para a filial elimina a necessidade de instalar o cliente em todos os dispositivos. Você pode conectar toda a filial criando um túnel IPSec entre o roteador principal da filial e o ponto de extremidade de Acesso Seguro Global.
Não consigo instalar clientes em todos os dispositivos que minha organização possui.
Às vezes, você não pode instalar o cliente em todos os dispositivos. O Acesso Seguro Global atualmente fornece clientes para Windows, macOS, Android e iOS. Mas e o Linux, mainframes, câmeras, impressoras e outros tipos de dispositivos que são locais e enviam tráfego para a Internet? Você ainda precisa monitorar e proteger esse tráfego. Ao conectar uma rede remota, você pode definir políticas para todo o tráfego desse local, independentemente do dispositivo de origem.
Tenho convidados na minha rede que não têm o cliente instalado.
Os dispositivos convidados na sua rede podem não ter o cliente instalado. Para garantir que esses dispositivos sigam suas políticas de segurança de rede, você precisa que o tráfego seja roteado através do ponto de extremidade do Acesso Seguro Global. A conectividade de rede remota resolve esse problema. Você não precisa instalar o cliente em dispositivos convidados. Todo o tráfego de saída da rede remota passa pela avaliação de segurança por padrão.
Qual é a alocação de largura de banda para cada locatário?
O número de licenças que você compra determina sua alocação total de largura de banda. Cada licença Microsoft Entra ID P1, licença Acesso à Internet do Microsoft Entra e licença Suíte do Microsoft Entra contribui para sua largura de banda total. Você pode atribuir largura de banda para redes remotas a túneis IPsec em incrementos de 250 Mbps, 500 Mbps, 750 Mbps ou 1.000 Mbps. Essa flexibilidade significa que você pode alocar largura de banda para diferentes locais de rede remota com base em suas necessidades específicas. Para obter melhor desempenho, Microsoft recomenda configurar pelo menos dois túneis IPsec por local para alta disponibilidade. A tabela a seguir mostra a largura de banda total com base no número de licenças que você compra.
Alocação inicial de largura de banda
| Número de licenças | Largura de banda total (Mbps) |
|---|---|
| 50 – 99 | 500 Mbps |
| 100 – 499 | 1.000 Mbps |
| 500 – 999 | 2.000 Mbps |
| 1,000 – 1,499 | 3.500 Mbps |
| 1,500 – 1,999 | 4.000 Mbps |
| 2,000 – 2,499 | 4.500 Mbps |
| 2,500 – 2,999 | 5.000 Mbps |
| 3,000 – 3,499 | 5.500 Mbps |
| 3,500 – 3,999 | 6.000 Mbps |
| 4,000 – 4,499 | 6.500 Mbps |
| 4,500 – 4,999 | 7.000 Mbps |
| 5,000 – 5,499 | 10.000 Mbps |
| 5,500 – 5,999 | 10.500 Mbps |
| 6,000 – 6,499 | 11.000 Mbps |
| 6,500 – 6,999 | 11.500 Mbps |
| 7,000 – 7,499 | 12.000 Mbps |
| 7,500 – 7,999 | 12.500 Mbps |
| 8,000 – 8,499 | 13.000 Mbps |
| 8,500 – 8,999 | 13.500 Mbps |
| 9,000 – 9,499 | 14.000 Mbps |
| 9,500 – 9,999 | 14.500 Mbps |
| 10.000 + | 35.000 Mbps + |
Notas da tabela
- Você precisa de pelo menos 50 licenças para usar o recurso de conectividade de rede remota.
- O número de licenças é o número total de licenças que você compra (Microsoft Entra ID P1 + Acesso à Internet do Microsoft Entra/Suíte do Microsoft Entra). Após 10.000 licenças, você obtém mais 500 Mbps para cada 500 licenças que comprar (por exemplo, 11.000 licenças = 36.000 Mbps).
- Organizações que ultrapassam 10.000 licenças geralmente operam em escala empresarial e precisam de infraestrutura mais robusta. O salto para 35.000 Mbps garante ampla capacidade para atender às demandas dessas implantações, dá suporte a volumes de tráfego mais altos e fornece a flexibilidade para expandir as alocações de largura de banda conforme necessário.
- Se você precisar de mais largura de banda, poderá comprar largura de banda extra em incrementos de 500 Mbps por meio da SKU de Largura de Banda de Rede Remota.
Exemplos de largura de banda alocada por locatário
Locatário um:
- 1.000 licenças P1 Microsoft Entra ID
- Alocado: 1.000 licenças, 3.500 Mbps
Locatário dois:
- 3.000 licenças P1 Microsoft Entra ID
- 3.000 licenças de acesso à internet
- Alocado: 6.000 licenças, 11.000 Mbps
Inquilino três:
- 8.000 licenças do Microsoft Entra ID P1
- 6.000 licenças de Suíte do Microsoft Entra
- Alocado: 14.000 licenças, 39.000 Mbps
Exemplos de distribuição de largura de banda para redes remotas
Locatário um:
Largura de banda total: 3.500 Mbps
Alocação:
- Site A: 2 túneis IPsec: 2 x 250 Mbps = 500 Mbps
- Site B: 2 túneis IPsec: 2 x 250 Mbps = 500 Mbps
- Site C: 2 túneis IPsec: 2 x 500 Mbps = 1.000 Mbps
- Site D: 2 túneis IPsec: 2 x 750 Mbps = 1.500 Mbps
Largura de banda restante: Nenhuma
Locatário dois:
Largura de banda total: 11.000 Mbps
Alocação:
- Site A: 2 túneis IPsec: 2 x 250 Mbps = 500 Mbps
- Site B: 2 túneis IPsec: 2 x 500 Mbps = 1.000 Mbps
- Site C: 2 túneis IPsec: 2 x 750 Mbps = 1.500 Mbps
- Site D: 2 túneis IPsec: 2 x 1.000 Mbps = 2.000 Mbps
- Site E: 2 túneis IPsec: 2 x 1.000 Mbps = 2.000 Mbps
Largura de banda restante: 4.000 Mbps
Locatário três:
Largura de banda total: 39.000 Mbps
Alocação:
- Site A: 2 túneis IPsec: 2 x 250 Mbps = 500 Mbps
- Site B: 2 túneis IPsec: 2 x 500 Mbps = 1.000 Mbps
- Site C: 2 túneis IPsec: 2 x 750 Mbps = 1.500 Mbps
- Site D: 2 túneis IPsec: 2 x 750 Mbps = 1.500 Mbps
- Site E: 2 túneis IPsec: 2 x 1.000 Mbps = 2.000 Mbps
- Site F: 2 túneis IPsec: 2 x 1.000 Mbps = 2.000 Mbps
- Site G: 2 túneis IPsec: 2 x 1.000 Mbps = 2.000 Mbps
Largura de banda restante: 28.500 Mbps