Informazioni sulla connettività di rete remota
Global Secure Access supporta due opzioni di connettività: l'installazione di un client nel dispositivo dell'utente finale e la configurazione di una rete remota, ad esempio una posizione di succursale con un router fisico. La connettività di rete remota semplifica il modo in cui gli utenti finali e gli utenti guest si connettono da una rete remota senza dover installare il client di accesso sicuro globale.
Questo articolo descrive i concetti chiave della connettività di rete remota insieme agli scenari comuni in cui è utile.
Che cos'è una rete remota?
Le reti remote sono posizioni o reti remote che richiedono la connettività Internet. Ad esempio, molte organizzazioni dispongono di una sede centrale e di succursali in aree geografiche diverse. Queste succursali devono accedere ai dati e ai servizi aziendali. Hanno bisogno di un modo sicuro per comunicare con il data center, la sede centrale e i lavoratori remoti. La sicurezza delle reti remote è fondamentale per molti tipi di organizzazioni.
Le reti remote, ad esempio una località di succursale, sono in genere connesse alla rete aziendale tramite una rete WAN (Wide Area Network) dedicata o una connessione VPN (Virtual Private Network). I dipendenti nella sede della succursale si connettono alla rete usando le apparecchiature locali del cliente(CPE).
Sfide attuali della sicurezza di rete remota
I requisiti di larghezza di banda sono aumentati : il numero di dispositivi che richiedono l'accesso a Internet aumenta in modo esponenziale. Le reti tradizionali sono difficili da ridimensionare. Con l'avvento di applicazioni SaaS (Software as a Service) come Microsoft 365, ci sono esigenze in continua crescita di bassa latenza e comunicazione senza instabilità con tecnologie tradizionali come Wide Area Network (WAN) e MPLS (Multi-Protocol Label Switching).
I team IT sono costosi : in genere, i firewall vengono posizionati in dispositivi fisici locali, che richiedono un team IT per la configurazione e la manutenzione. La gestione di un team IT in ogni sede di succursale è costosa.
Minacce in continua evoluzione: gli attori malintenzionati stanno trovando nuove vie per attaccare i dispositivi ai margini delle reti. I dispositivi perimetrali nelle succursali o anche negli uffici domestici sono spesso il punto di attacco più vulnerabile.
Come funziona la connettività di rete remota di Accesso sicuro globale?
Per connettere una rete remota all'accesso sicuro globale, è necessario configurare un tunnel IPSec (Internet Protocol Security) tra le apparecchiature locali e l'endpoint Di accesso sicuro globale. Il traffico specificato viene instradato attraverso il tunnel IPSec all'endpoint di accesso sicuro globale più vicino. È possibile applicare i criteri di sicurezza nell'interfaccia di amministrazione di Microsoft Entra.
La connettività di rete remota di Accesso sicuro globale offre una soluzione sicura tra una rete remota e il servizio Accesso sicuro globale. Non fornisce una connessione sicura tra una rete remota e un'altra. Per altre informazioni sulla connettività di rete remota da rete remota a remota, vedere la documentazione di Azure rete WAN virtuale.
Perché la connettività di rete remota è importante per l'utente?
Mantenere la sicurezza di una rete aziendale è sempre più difficile in un mondo di lavoro remoto e team distribuiti. Security Service Edge (SSE) promette un mondo di sicurezza in cui i clienti possono accedere alle risorse aziendali da qualsiasi parte del mondo senza dover riportare il traffico alla sede centrale.
Scenari comuni di connettività di rete remota
Non voglio installare i client in migliaia di dispositivi locali.
In genere, la crittografia del servizio di archiviazione viene applicata installando un client in un dispositivo. Il client crea un tunnel per l'endpoint SSE più vicino e indirizza tutto il traffico Internet attraverso di esso. Le soluzioni SSE controllano il traffico e applicano i criteri di sicurezza. Se gli utenti non sono mobili e basati in una posizione di succursale fisica, la connettività di rete remota per tale località di succursale rimuove il dolore dell'installazione di un client in ogni dispositivo. È possibile connettere l'intera località di succursale creando un tunnel IPSec tra il router principale della succursale e l'endpoint di accesso sicuro globale.
Non è possibile installare i client in tutti i dispositivi di proprietà dell'organizzazione.
In alcuni casi, i client non possono essere installati in tutti i dispositivi. L'accesso sicuro globale attualmente fornisce i client per Windows. Ma che ne dici di Linux, mainframe, fotocamere, stampanti e altri tipi di dispositivi locali e che inviano traffico a Internet? Questo traffico deve comunque essere monitorato e protetto. Quando si connette una rete remota, è possibile impostare criteri per tutto il traffico proveniente da tale posizione indipendentemente dal dispositivo in cui ha avuto origine.
Ho guest nella rete che non hanno installato il client.
I dispositivi guest nella rete potrebbero non avere installato il client. Per assicurarsi che tali dispositivi rispettino i criteri di sicurezza di rete, è necessario indirizzare il traffico attraverso l'endpoint di accesso sicuro globale. La connettività di rete remota risolve questo problema. Nessun client deve essere installato nei dispositivi guest. Tutto il traffico in uscita dalla rete remota passa attraverso la valutazione della sicurezza per impostazione predefinita.
Quantità di larghezza di banda allocata per tenant
La larghezza di banda totale allocata è determinata dal numero di licenze acquistate. Ogni licenza microsoft Entra ID P1, licenza di Microsoft Entra Internet Access o licenza di Microsoft Entra Suite contribuisce alla larghezza di banda totale. La larghezza di banda per le reti remote può essere assegnata ai tunnel IPsec con incrementi di 250 Mbps, 500 Mbps, 750 Mbps o 1000 Mbps. Questa flessibilità consente di allocare larghezza di banda a percorsi di rete remoti diversi in base alle esigenze specifiche. Per ottenere prestazioni ottimali, Microsoft consiglia di configurare almeno due tunnel IPsec per ogni posizione per la disponibilità elevata. La tabella seguente illustra in dettaglio la larghezza di banda totale in base al numero di licenze acquistate.
Allocazione della larghezza di banda di rete remota
Numero di licenze | Larghezza di banda totale (Mbps) |
---|---|
50 – 99 | 500 Mbps |
100 – 499 | 1.000 Mbps |
500 – 999 | 2.000 Mbps |
1,000 – 1,499 | 3.500 Mbps |
1,500 – 1,999 | 4.000 Mbps |
2,000 – 2,499 | 4.500 Mbps |
2,500 – 2,999 | 5.000 Mbps |
3,000 – 3,499 | 5.500 Mbps |
3,500 – 3,999 | 6.000 Mbps |
4,000 – 4,499 | 6.500 Mbps |
4,500 – 4,999 | 7.000 Mbps |
5,000 – 5,499 | 10.000 Mbps |
5,500 – 5,999 | 10.500 Mbps |
6,000 – 6,499 | 11.000 Mbps |
6,500 – 6,999 | 11.500 Mbps |
7,000 – 7,499 | 12.000 Mbps |
7,500 – 7,999 | 12.500 Mbps |
8,000 – 8,499 | 13.000 Mbps |
8,500 – 8,999 | 13.500 Mbps |
9,000 – 9,499 | 14.000 Mbps |
9,500 – 9,999 | 14.500 Mbps |
10.000 + | 35.000 Mbps + |
Note della tabella
- Il numero minimo di licenze per l'uso della funzionalità di connettività di rete remota è 50.
- Il numero di licenze è uguale al numero totale di licenze acquistate (Entra ID P1 + Entra Internet Access /Entra Suite). Dopo 10.000 licenze si ottengono altri 500 Mbps per ogni 500 licenze acquistate (ad esempio 11.000 licenze = 36.000 Mbps).
- Le organizzazioni che superano la soglia delle 10.000 licenze operano spesso su una scala di livello aziendale che richiede un'infrastruttura più solida. Il passaggio a 35.000 Mbps garantisce un'ampia capacità per soddisfare le esigenze di tali distribuzioni, supportando volumi di traffico più elevati e offrendo la flessibilità necessaria per espandere le allocazioni della larghezza di banda.
- Se è necessaria una maggiore larghezza di banda, sarà disponibile una larghezza di banda aggiuntiva per l'acquisto.
Esempi di larghezza di banda allocata per tenant:
Tenant 1:
- 1.000 licenze Entra ID P1
- Allocata: 1.000 licenze, 3.500 Mbps
Tenant 2:
- 3.000 licenze Entra ID P1
- 3.000 licenze di Accesso Internet
- Allocata: 6.000 licenze, 11.000 Mbps
Inquilino 3:
- 8.000 licenze Entra ID P1
- 6.000 licenze Entra Suite
- Allocata: 14.000 licenze, 39.000 Mbps
Esempi di distribuzione della larghezza di banda per reti remote
Tenant 1:
Larghezza di banda totale: 3.500 Mbps
Allocazione:
- Sito A: 2 tunnel IPsec: 2 x 250 Mbps = 500 Mbps
- Sito B: 2 tunnel IPsec da 250 Mbps ciascuno = 500 Mbps in totale
- Sito C: 2 tunnel IPsec: 2 x 500 Mbps = 1.000 Mbps
- Sito D: 2 tunnel IPsec: 2 × 750 Mbps = 1.500 Mbps
Larghezza di banda rimanente: nessuna
Tenant 2:
Larghezza di banda totale: 11.000 Mbps
Allocazione:
- Sito A: 2 tunnel IPsec: 2 x 250 Mbps = 500 Mbps
- Sito B: 2 tunnel IPsec: 2 x 500 Mbps = 1.000 Mbps
- Sito C: 2 tunnel IPsec: 2 x 750 Mbps = 1.500 Mbps
- Sito D: 2 tunnel IPsec: 2 x 1.000 Mbps = 2.000 Mbps
- Sito E: 2 tunnel IPsec: 2 x 1.000 Mbps = 2.000 Mbps
Larghezza di banda rimanente: 4.000 Mbps
Tenant 3:
Larghezza di banda totale: 39.000 Mbps
Allocazione:
- Sito A: 2 tunnel IPsec: 2 x 250 Mbps = 500 Mbps
- Sito B: 2 tunnel IPsec: 2 x 500 Mbps = 1.000 Mbps
- Sito C: 2 tunnel IPsec: 2 x 750 Mbps = 1.500 Mbps
- Sito D: 2 tunnel IPsec: 2 x 750 Mbps = 1.500 Mbps
- Sito E: 2 tunnel IPsec: 2 x 1.000 Mbps = 2.000 Mbps
- Site F: 2 tunnel IPsec: 2 x 1.000 Mbps = 2.000 Mbps
- Sito G: 2 tunnel IPsec: 2 x 1.000 Mbps = 2.000 Mbps
Larghezza di banda rimanente: 28.500 Mbps