Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Descrição geral
O Acesso Seguro Global suporta duas opções de conectividade: instalar um cliente num dispositivo de utilizador final e configurar uma rede remota, como uma localização de ramal com um router físico. A conectividade de rede remota simplifica a forma como os seus utilizadores finais e convidados se ligam a partir de uma rede remota sem necessidade de instalar o Global Secure Access Client.
Este artigo descreve os principais conceitos de conectividade de rede remota, juntamente com cenários comuns onde ela é útil.
O que é uma rede remota?
As redes remotas são locais remotos ou redes que requerem conectividade com a Internet. Por exemplo, muitas organizações têm uma sede central e filiais em diferentes áreas geográficas. Essas filiais precisam ter acesso a dados e serviços corporativos. Precisam de uma forma segura de comunicar com o centro de dados, a sede e os trabalhadores remotos. A segurança das redes remotas é crucial para muitos tipos de organizações.
Normalmente, liga-se redes remotas, como a localização de uma agência, à rede corporativa através de uma ligação dedicada de Wide Area Network (WAN) ou de uma Rede Privada Virtual (VPN). Os funcionários na agência ligam-se à rede utilizando equipamentos das instalações do cliente (CPE).
Desafios atuais da segurança de rede remota
Os requisitos de largura de banda aumentaram – O número de dispositivos que necessitam de acesso à internet está a aumentar exponencialmente. As redes tradicionais são difíceis de escalar. Com o advento de aplicações de Software como Serviço (SaaS) como o Microsoft 365, existem exigências crescentes por comunicação de baixa latência e sem jitter, com as quais tecnologias tradicionais como a Rede de Área Alargada (WAN) e a Comutação de Rótulos Multi-Protocolo (MPLS) enfrentam dificuldades.
As equipas de TI são dispendiosas – Normalmente, instala-se firewalls em dispositivos físicos no local, o que requer uma equipa de TI para a configuração e manutenção. Manter uma equipe de TI em cada filial é caro.
Ameaças em evolução – Os agentes maliciosos continuam a encontrar novas formas de atacar os dispositivos na periferia das redes. Os dispositivos periféricos em filiais ou mesmo em escritórios domésticos são frequentemente o ponto mais vulnerável para ataques.
Sugestão
Para obter orientações sobre como melhorar a resiliência de redes remotas, consulte Práticas recomendadas para resiliência de rede remota de Acesso Seguro Global.
Como funciona a conectividade de rede remota Global Secure Access?
Para ligar uma rede remota ao Global Secure Access, configure um túnel de Segurança por Protocolo de Internet (IPsec) entre o seu equipamento local e o endpoint Global Secure Access. Encaminhe o tráfego que especificar através do túnel IPsec para o endpoint Global Secure Access mais próximo. Pode aplicar políticas de segurança no centro de administração Microsoft Entra.
A conectividade de rede remota Global Secure Access fornece uma solução segura entre uma rede remota e o serviço Global Secure Access. Ele não fornece uma conexão segura entre uma rede remota e outra. Para mais informações sobre conectividade segura de rede remota para rede remota, consulte a documentação WAN Virtual do Azure.
Perfis de encaminhamento de tráfego suportados
Redes remotas suportam diferentes perfis de encaminhamento de tráfego para aquisição de tráfego. Os perfis de encaminhamento de tráfego controlam qual o tráfego que é encaminhado através do Global Secure Access. Perfis de segurança, como o perfil de referência, controlam que políticas são aplicadas a esse tráfego adquirido.
| Perfil de encaminhamento de tráfego | Cliente de Acesso Seguro Global | Rede remota |
|---|---|---|
| tráfego da Microsoft | ✅ Suportado | ✅ Suportado |
| Acesso à Internet | ✅ Suportado | ✅ Suportado |
| Acesso Privado | ✅ Suportado | ❌ Não suportado |
Importante
Pode atribuir os perfis de encaminhamento de tráfego Microsoft e Acesso à Internet a redes remotas. O perfil de encaminhamento de tráfego de Acesso Privado requer o cliente Global Secure Access instalado nos dispositivos dos utilizadores finais. Para mais informações, consulte Atribuir um perfil de tráfego a uma rede remota e Compreender perfis de encaminhamento de tráfego.
Depois de adquirir tráfego através de um perfil de encaminhamento, aplique políticas de segurança utilizando perfis de segurança. O perfil de segurança base aplica políticas ao nível do tenant para todo o tráfego encaminhado através do Global Secure Access, incluindo o tráfego remoto da rede. Perfis de segurança orientados para o utilizador associados a políticas de Acesso Condicional requerem o cliente Global Secure Access.
Fiscalização do perfil de tráfego em ligações remotas de dispositivos de rede
O Global Secure Access aplica perfis de encaminhamento de tráfego para todas as ligações de dispositivos, como túneis IPsec, associados a uma rede remota. Encaminha apenas tipos de tráfego que correspondem a um perfil de encaminhamento de tráfego ativado e associado. O gateway Global Secure Access descarta todo o tráfego restante.
Este cumprimento significa:
- Se associar apenas o perfil de tráfego Microsoft a uma rede remota, o gateway Global Secure Access elimina qualquer tráfego não Microsoft (como o tráfego geral da internet) enviado pelo link do dispositivo.
- Se associar apenas o perfil de tráfego Acesso à Internet a uma rede remota, o gateway Global Secure Access elimina qualquer tráfego Microsoft enviado pelo link do dispositivo.
Importante
Para evitar perdas de tráfego não intencionais, associe ambos o perfil de tráfego Microsoft e o perfil de tráfego Acesso à Internet à sua rede remota, se a sua licença permitir. Esta configuração garante que o perfil apropriado gere todo o tráfego encaminhado pelo túnel IPsec, em vez de o deixar cair silenciosamente no gateway.
Para obter detalhes sobre os perfis de encaminhamento de tráfego disponíveis e a configuração deles, consulte Perfis de encaminhamento de tráfego do Global Secure Access.
Porque é que a conectividade remota à rede é importante para si?
Manter a segurança de uma rede corporativa é cada vez mais difícil em um mundo de trabalho remoto e equipes distribuídas. A Security Service Edge (SSE) promete um mundo de segurança onde os clientes podem aceder aos seus recursos corporativos a partir de qualquer parte do mundo sem necessidade de transportar o seu tráfego para a sede.
Cenários comuns de conectividade de rede remota
Não quero instalar clientes em milhares de dispositivos localmente.
Geralmente, aplicas o SSE instalando o cliente num dispositivo. O cliente cria um túnel para o ponto de extremidade SSE mais próximo e roteia todo o tráfego da Internet através dele. As soluções SSE inspecionam o tráfego e aplicam políticas de segurança. Se os seus utilizadores não são móveis e estão sediados numa localização física de agência, a conectividade remota dessa agência elimina o trabalho de instalar o cliente em cada dispositivo. Você pode conectar todo o local da filial criando um túnel IPSec entre o roteador principal da filial e o ponto de extremidade de Acesso Seguro Global.
Não consigo instalar clientes em todos os dispositivos que a minha organização possui.
Por vezes, não se pode instalar o cliente em todos os dispositivos. O Global Secure Access fornece atualmente clientes para Windows, macOS, Android e iOS. Mas e quanto ao Linux, mainframes, câmaras, impressoras e outros tipos de dispositivos on-premises que enviam tráfego para a internet? Ainda precisas de monitorizar e proteger este tráfego. Quando liga uma rede remota, pode definir políticas para todo o tráfego a partir dessa localização, independentemente do dispositivo de origem.
Tenho convidados na minha rede que não têm o cliente instalado.
Os dispositivos convidados na rede podem não ter o cliente instalado. Para garantir que esses dispositivos adiram às suas políticas de segurança de rede, você precisa que o tráfego deles seja roteado através do ponto de extremidade de Acesso Seguro Global. A conectividade de rede remota resolve esse problema. Não precisas de instalar o cliente em dispositivos convidados. Todo o tráfego de saída da rede remota passa por avaliação de segurança por padrão.
Qual é a alocação de largura de banda para cada inquilino?
O número de licenças que compra determina a sua largura de banda total alocada. Cada licença Microsoft Entra ID P1, Acesso à Internet do Microsoft Entra e Microsoft Entra Suite acrescenta à sua largura de banda total. Pode atribuir largura de banda para redes remotas aos túneis IPsec em incrementos de 250 Mbps, 500 Mbps, 750 Mbps ou 1.000 Mbps. Esta flexibilidade significa que pode alocar largura de banda a diferentes localizações remotas de rede com base nas suas necessidades específicas. Para melhor desempenho, a Microsoft recomenda configurar pelo menos dois túneis IPsec por localização para alta disponibilidade. A tabela seguinte mostra a largura de banda total com base no número de licenças que compra.
Alocação inicial de largura de banda
| Número de licenças | Largura de banda total (Mbps) |
|---|---|
| 50 – 99 | 500 Mbps |
| 100 – 499 | 1.000 Mbps |
| 500 – 999 | 2.000 Mbps |
| 1,000 – 1,499 | 3.500 Mbps |
| 1,500 – 1,999 | 4.000 Mbps |
| 2,000 – 2,499 | 4.500 Mbps |
| 2,500 – 2,999 | 5.000 Mbps |
| 3,000 – 3,499 | 5.500 Mbps |
| 3,500 – 3,999 | 6.000 Mbps |
| 4,000 – 4,499 | 6.500 Mbps |
| 4,500 – 4,999 | 7.000 Mbps |
| 5,000 – 5,499 | 10.000 Mbps |
| 5,500 – 5,999 | 10.500 Mbps |
| 6,000 – 6,499 | 11.000 Mbps |
| 6,500 – 6,999 | 11.500 Mbps |
| 7,000 – 7,499 | 12.000 Mbps |
| 7,500 – 7,999 | 12.500 Mbps |
| 8,000 – 8,499 | 13.000 Mbps |
| 8,500 – 8,999 | 13.500 Mbps |
| 9,000 – 9,499 | 14.000 Mbps |
| 9,500 – 9,999 | 14.500 Mbps |
| 10.000 + | 35.000 Mbps + |
Notas de tabela
- Precisas de pelo menos 50 licenças para usar a funcionalidade de conectividade de rede remota.
- O número de licenças corresponde ao número total de licenças que compra (Microsoft Entra ID P1 + Acesso à Internet do Microsoft Entra / Microsoft Entra Suite). Depois de 10.000 licenças, recebe mais 500 Mbps por cada 500 licenças que compra (por exemplo, 11.000 licenças = 36.000 Mbps).
- Organizações que ultrapassam as 10.000 licenças operam frequentemente à escala empresarial e necessitam de infraestruturas mais robustas. O salto para 35.000 Mbps garante capacidade suficiente para responder às exigências dessas implementações, suporta volumes de tráfego mais elevados e oferece flexibilidade para expandir as alocações de largura de banda conforme necessário.
- Se precisar de mais largura de banda, pode comprar largura de banda extra em incrementos de 500 Mbps através do SKU Remote Network Bandwidth.
Exemplos de largura de banda alocada por inquilino
Inquilino um:
- 1.000 licenças Microsoft Entra ID P1
- Alocado: 1.000 licenças, 3.500 Mbps
Inquilino dois:
- 3.000 licenças Microsoft Entra ID P1
- 3.000 licenças de acesso à Internet
- Alocado: 6.000 licenças, 11.000 Mbps
Inquilino três:
- 8.000 licenças Microsoft Entra ID P1
- 6.000 licenças da Microsoft Entra Suite
- Alocado: 14.000 licenças, 39.000 Mbps
Exemplos de distribuição de largura de banda para redes remotas
Inquilino primeiro:
Largura de banda total: 3.500 Mbps
Atribuição:
- Site A: 2 túneis IPsec: 2 x 250 Mbps = 500 Mbps
- Site B: 2 túneis IPsec: 2 x 250 Mbps = 500 Mbps
- Site C: 2 túneis IPsec: 2 x 500 Mbps = 1.000 Mbps
- Site D: 2 túneis IPsec: 2 x 750 Mbps = 1.500 Mbps
Largura de banda restante: Nenhuma
Inquilino dois:
Largura de banda total: 11.000 Mbps
Atribuição:
- Site A: 2 túneis IPsec: 2 x 250 Mbps = 500 Mbps
- Site B: 2 túneis IPsec: 2 x 500 Mbps = 1.000 Mbps
- Site C: 2 túneis IPsec: 2 x 750 Mbps = 1.500 Mbps
- Site D: 2 túneis IPsec: 2 x 1.000 Mbps = 2.000 Mbps
- Site E: 2 túneis IPsec: 2 x 1.000 Mbps = 2.000 Mbps
Largura de banda restante: 4.000 Mbps
Inquilino três:
Largura de banda total: 39.000 Mbps
Atribuição:
- Site A: 2 túneis IPsec: 2 x 250 Mbps = 500 Mbps
- Site B: 2 túneis IPsec: 2 x 500 Mbps = 1.000 Mbps
- Site C: 2 túneis IPsec: 2 x 750 Mbps = 1.500 Mbps
- Site D: 2 túneis IPsec: 2 x 750 Mbps = 1.500 Mbps
- Site E: 2 túneis IPsec: 2 x 1.000 Mbps = 2.000 Mbps
- Site F: 2 túneis IPsec: 2 x 1.000 Mbps = 2.000 Mbps
- Site G: 2 túneis IPsec: 2 x 1.000 Mbps = 2.000 Mbps
Largura de banda restante: 28.500 Mbps