Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Przed zaplanowaniem sieci na Windows 365 należy zrozumieć zasady łączności, które zapewniają użytkownikom bezpieczny, niezawodny i wydajny dostęp do komputera w chmurze. Ten artykuł ułatwia zrozumienie najnowszych wskazówek dotyczących bezpiecznej optymalizacji tego krytycznego ruchu.
Tradycyjne sieci przedsiębiorstwa są przeznaczone przede wszystkim do zapewniania dostępu do aplikacji i danych hostowanych w obsługiwanym przez firmę centrum danych. Sieci te korzystają z zabezpieczeń obwodowych, w tym zapór, systemów wykrywania włamań i narzędzi inspekcji ruchu w celu ochrony przed niezaufanym światem zewnętrznym. Ten tradycyjny model zakłada, że użytkownicy uzyskują dostęp do aplikacji i danych z sieci firmowej bezpośrednio z lokacji firmowych lub zdalnie za pośrednictwem połączeń wirtualnej sieci prywatnej (VPN). Ta architektura jest zoptymalizowana pod kątem scentralizowanych mechanizmów kontroli i ochrony, ale może wprowadzać opóźnienia i złożoność podczas uzyskiwania dostępu do usług opartych na chmurze.
Windows 365 może zapewnić w pełni oparte na systemie SaaS środowisko dla komputera w chmurze, umożliwiając organizacjom zapewnienie bezpiecznych, niezawodnych i wydajnych środowisk klasycznych użytkownikom na całym świecie. Łączność z infrastrukturą zapewnianą w celu umożliwienia tej globalnie bezproblemowej łączności wymaga specjalnej optymalizacji, aby zapewnić użytkownikom końcowym najwyższą możliwą wydajność i jakość.
architektura Windows 365
Windows 365 jest geograficznie rozproszoną usługą typu oprogramowanie jako usługa (SaaS). Komputery w chmurze można wdrożyć w wielu regionach globalnych w celu spełnienia potrzeb użytkowników i organizacji.
Łączność między użytkownikiem a komputerem w chmurze powinna być zaprojektowana zgodnie z podanymi wskazówkami. Takie podejście pomaga zoptymalizować wydajność przy użyciu globalnej infrastruktury sieci i krawędzi usług firmy Microsoft znajdującej się najbliżej użytkownika i komputera w chmurze, zamiast opierać projekt na lokalizacji docelowej.
Firma Microsoft obsługuje jedną z największych globalnych sieci, oferując połączenia o wysokiej dostępności, wysokiej przepustowości i małych opóźnieniach między centrami danych a przeglądarką internetową. Dzięki 185 globalnym punktom obecności sieci (POP) i rosnącemu wzrostowi ta infrastruktura zbliża łączność do użytkowników.
Windows 365 używa globalnie rozproszonych punktów wejścia usługi, w tym usługi bramy dla połączeń protokołu RDP (Transmission Control Protocol) opartych na protokole kontroli transmisji (RDP) i przekaźników TURN dla połączeń protokołu UDP (User Datagram Protocol). Te punkty wejścia znajdują się w pobliżu użytkowników, niezależnie od ich lokalizacji, aby zapewnić optymalną łączność.
Komputery w chmurze mogą bezpośrednio uzyskiwać dostęp do sieci szkieletowej firmy Microsoft, aby uzyskać dostęp do tych drzwi frontowych usługi, gdy użytkownik się z nimi połączy. Jeśli ruch do hostowanych punktów końcowych firmy Microsoft jest prawidłowo kierowany, nigdy nie dotyka Internetu z komputera w chmurze.
Prawidłowe użycie wszystkich trzech elementów pomaga zapewnić szybką i niezawodną łączność między użytkownikami i ich komputerami w chmurze, niezależnie od tego, gdzie się znajdują.
Elementy łączności do zrozumienia
Windows 365 wymagania dotyczące łączności można podzielić na trzy kategorie:
a. Łączność RDP
Ruch RDP stanowi podstawowe połączenie między użytkownikiem końcowym a komputerem w chmurze. Używa ona tych samych wychodzących punktów końcowych zarówno na urządzeniu fizycznym, jak i na komputerze w chmurze. Optymalizacja tego ruchu ma zasadnicze znaczenie dla zapewnienia niezawodnej i wysokiej wydajności łączności
b. Łączność usługi po stronie chmury
Ten ruch jest niezbędny do aprowizacji komputerów w chmurze i obsługi usługi. Większość punktów końcowych jest hostowana w sieci szkieletowej firmy Microsoft, dlatego kierowanie bezpośrednio do nich ruchu zwiększa wydajność i niezawodność. Zapewnia również najwyższy poziom zabezpieczeń, ponieważ ruch nie przechodzi przez publiczny Internet.
c. Łączność klienta fizycznego
Oprócz połączeń RDP opisanych tutaj wszystkie inne wymagania fizycznego punktu końcowego po stronie klienta mogą być traktowane jako normalny ruch internetowy i zarządzane zgodnie ze standardowymi praktykami organizacji.
zasady łączności Windows 365
Firma Microsoft zaleca następujące zasady, aby osiągnąć optymalną łączność i wydajność. Głównym celem projektu sieci dla Windows 365 jest zminimalizowanie opóźnienia przez skrócenie czasu rundy między siecią a globalną siecią firmy Microsoft. Ta sieć szkieletowa łączy wszystkie centra danych firmy Microsoft i zapewnia małe opóźnienia zarówno między lokalizacjami centrów danych, jak i krawędzią sieci, blisko użytkowników. Aby uzyskać najlepszą wydajność i niezawodność podczas nawiązywania połączenia z komputera w chmurze, zastosuj następujące optymalizacje:
1. Wdróż komputer w chmurze jak najbliżej użytkownika
Umieszczenie komputera w chmurze jak najbliżej lokalizacji użytkownika końcowego pomaga zminimalizować opóźnienia. Firma Microsoft oferuje opcje wdrażania w wielu Azure regionach na całym świecie. Wybranie regionu najbliższego użytkownikowi zmniejsza opóźnienie między użytkownikiem a komputerem w chmurze, zapewniając najlepszą wydajność.
W niektórych przypadkach wdrożenie lokalnego komputera w chmurze może nie być możliwe ze względu na wymagania dotyczące zgodności lub ograniczenia opóźnienia danych aplikacji. Gdy wdrożenie lokalne nie jest możliwe, optymalizacja na poziomie sieci staje się bardziej krytyczna dla utrzymania wydajności na dłuższych dystansach.
Niezależnie od tego, gdzie wdrożono komputer w chmurze, należy przestrzegać tych zasad sieci, aby zapewnić maksymalną wydajność i niezawodność.
2. Identyfikowanie i rozróżnianie ruchu Windows 365
Identyfikowanie ruchu sieciowego Windows 365 jest pierwszym krokiem do odróżnienia tego ruchu od ogólnego ruchu sieciowego powiązanego z Internetem, jeśli jest to konieczne. Windows 365 łączność można zoptymalizować, implementując kombinację metod, takich jak:
Optymalizacja tras sieciowych
Obejście sieci VPN/bezpiecznej bramy sieci Web (SWG)
Reguły zapory
Ustawienia serwera proxy przeglądarki.
Pomijanie urządzeń inspekcji sieci dla niektórych punktów końcowych.
Szczegóły punktów końcowych wymaganych dla usługi można podsumować w jednej z następujących trzech kategorii
a. RDP — identyczne wymagania po stronie chmury i urządzenia fizycznego
b. Łączność usługi po stronie chmury
c. Wymagania dotyczące łączności klienta fizycznego
Ruch w obszarach (a) i (b) wymaga specjalnej optymalizacji, podczas gdy ruch poniżej (c) nie. Podział punktów końcowych w ramach tych kategorii można znaleźć w podanych linkach. Szczegóły tych punktów końcowych można znaleźć w dokumentacji wymagań sieciowych.
3. Połączenia sieciowe ruchu wychodzącego lokalnie
W przypadku zalecanych punktów końcowych ruch powinien być wychodzący lokalnie i bezpośredni,
Po stronie komputera w chmurze ruch powinien być kierowany bezpośrednio z sieci wirtualnej do sieci Azure, unikając tuneli SIECI VPN, bezpiecznych bram sieci Web, serwerów proxy lub lokalnego ruchu wychodzącego.
W przypadku fizycznych urządzeń klienckich pozwól, aby ruch usługi klucza był zamykany jak najbliżej użytkownika (na przykład. za pośrednictwem lokalnego ruchu wychodzącego SD-WAN lub domowego dostawcy usług internetowych (ISP), zamiast wysyłać go z powrotem do lokacji centralnej.
Diagram 1: Optymalizacja protokołu RDP przy użyciu lokalnego wyprysku
Na tym obrazie przedstawiono następujące elementy:
- Lokalne wyjście ruchu RDP w Chennai zapewnia, że ruch wchodzi do globalnej sieci firmy Microsoft w lokalizacji komunikacji równorzędnej Chennai.
- Bramy frontowe usługi lokalnej (bramy pulpitu zdalnego i przekaźniki TURN) minimalizują opóźnienia, utrzymując połączenia blisko użytkownika.
- Dalekobieżny element backhaul od drzwi wejściowych usługi do komputera w chmurze w środkowych Stanach Zjednoczonych działa w całości w sieci firmy Microsoft, zapewniając zoptymalizowaną ścieżkę o wysokiej przepustowości i małych opóźnieniach z nadmiarowymi linkami.
- Ten projekt zapewnia najmniejsze możliwe opóźnienie, wysoką wydajność, mniejsze ryzyko rozłączania i doskonałe środowisko użytkownika, unikając publicznego Internetu przez większość ścieżki.
- Po prawidłowym skonfigurowaniu ruch RDP z komputera w chmurze do usługi front door pozostaje całkowicie w sieci firmy Microsoft i nigdy nie przechodzi przez publiczny Internet.
Użyj lokalnego internetowego przełomu w pobliżu użytkownika, aby ruch szybko wchodził do globalnej sieci firmy Microsoft. Takie podejście umożliwia pobliskim punktom wejścia firmy Microsoft optymalizowanie połączenia i zapewnia niezawodny dostęp do komputera w chmurze, niezależnie od lokalizacji hostingu.
Ta infrastruktura obejmuje:
Ponad 185 punktów obecności na brzegu Internetu
Ponad 165 000 mil okablowania światłowodowego i podmorzego łączącego użytkowników z chmurą Microsoft Cloud
Bramy RDP dla protokołu RDP opartego na protokole TCP w ponad 40 regionach Azure
Przekaźniki TURN dla protokołu RDP opartego na protokole UDP w ponad 40 regionach Azure
Lokalne wypryski internetowe łączą użytkowników z infrastrukturą Windows 365 w pobliżu ich lokalizacji. Stamtąd cały ruch do komputera w chmurze przemieszcza się przez bezpieczną, szybką globalną sieć firmy Microsoft o małych opóźnieniach.
4. Oceń pomijanie serwerów proxy, sieci VPN, bezpiecznych bram sieci Web i urządzeń inspekcji ruchu.
Klienci korporacyjni powinni przejrzeć swoje mechanizmy kontroli zabezpieczeń dla ruchu Windows 365 i zezwolić na bezpośrednią ścieżkę dla ruchu usługi klucza. Zmniejsza to zależność od kosztownych, natrętnych narzędzi zabezpieczeń, które mogą zaszkodzić wydajności i niezawodności. Większość sieci przedsiębiorstwa wymusza zabezpieczenia sieci dla ruchu internetowego przy użyciu technologii, takich jak serwery proxy, inspekcja TLS (Transport Layer Security), inspekcja pakietów i systemy zapobiegania utracie danych. Te technologie zapewniają istotne ograniczenie ryzyka dla ogólnych żądań internetowych, ale mogą znacznie zmniejszyć wydajność, skalowalność i jakość środowiska użytkownika końcowego, gdy są stosowane do niektórych Windows 365 punktów końcowych. Poniższe optymalizacje sieci są zalecane dla wszystkich wyróżnionych punktów końcowych Windows 365:
W przypadku ruchu RDP:
Pomiń ruch z odszyfrowywania, przechwytywania, głębokiej inspekcji pakietów i pakietów sieciowych & filtrowania zawartości po stronie komputera w chmurze i po stronie urządzenia fizycznego. Inspekcja tego ruchu nie jest obsługiwana i nie przynosi żadnych korzyści.
W ramach Azure użyj trasy zdefiniowanej przez użytkownika do wysyłania ruchu RDP bezpośrednio do Internetu, unikając wszelkich urządzeń inspekcjujących, takich jak Zapora. Na przykład wyślij bezpośrednio do bramy TRANSLATOR, unikając ścieżki zapory. Aby uzyskać szczegółowy przykład, zobacz dokumentację Windows 365 Azure Firewall.
Wykluczanie ruchu RDP z sieci VPN, bezpiecznej bramy sieci Web (SWG) i tuneli serwera proxy skonfigurowanych zarówno na komputerach w chmurze, jak i na urządzeniach fizycznych.
Podaj bezpośrednią ścieżkę dla ruchu, aby dotrzeć do Internetu po stronie fizycznego klienta w taki sam sposób, jak w przypadku ruchu multimedialnego usługi Teams.
Zapewnij lokalny internet breakout dla fizycznego ruchu rdp klienta zamiast backhauling do centralnego lub zdalnego ruchu wychodzącego, dzięki czemu może korzystać z pobliskiej infrastruktury usługi firmy Microsoft i sieci globalnej.
W przypadku wymagań dotyczących łączności z usługą po stronie chmury:
Upewnij się, że trasa domyślna wysyła ruch do punktu ruchu wychodzącego Azure (na przykład Azure Firewall), a nie do lokalnego.
Wyklucz ruch Windows 365 z odszyfrowywania, przechwytywania, głębokiej inspekcji pakietów i filtrowania zawartości, aby uniknąć problemów z wydajnością i niezawodnością. Jeśli wymagane jest filtrowanie, zezwalaj na to bezpośrednio za pośrednictwem Azure Firewall.
Pomijanie konfiguracji sieci VPN, bezpiecznej bramy sieci Web (SWG) i serwera proxy dla ruchu Windows 365.
W przypadku łączności z klientem fizycznym
Wyklucz ruch RDP z sieci VPN, bezpiecznej bramy sieci Web (SWG) i tuneli serwera proxy skonfigurowanych na urządzeniu.
Zapewnij bezpośredni, lokalny wyprysk internetowy dla całego ruchu RDP, aby zminimalizować opóźnienia i zwiększyć niezawodność.
Wyłącz inspekcję protokołu TLS na ścieżce ruchu wychodzącego dla ruchu RDP, aby zapobiec zakłóceniom sesji.
Obsługuj wszystkie inne punkty końcowe jako standardowy ruch internetowy zgodnie z normalnym modelem łączności zewnętrznej organizacji.
zagadnienia dotyczące zabezpieczeń Windows 365
Podczas implementowania optymalizacji łączności Windows 365 należy pamiętać o następujących kwestiach:
Większość wymaganych punktów końcowych to tylko usługa. Istnieją one do obsługi usługi Windows 365 i nie zawierają danych wygenerowanych przez użytkownika.
Ruch rdp (Remote Desktop Protocol) jest wyjątkiem, dane takie jak przekierowanie schowka są przenoszone w ramach tego ruchu, ale jego ścieżka jest odizolowana od połączenia między urządzeniem fizycznym a komputerem w chmurze.
Inspekcja lub niezoptymalizowany routing może zaszkodzić wydajności. Techniki takie jak głęboka inspekcja pakietów, przechwytywanie protokołu TLS lub backhauling często wprowadzają opóźnienia i zmniejszają niezawodność.
Inspekcja protokołu TLS nie zapewnia żadnych korzyści dla tych punktów końcowych. Punkty końcowe używają już protokołu TLS do bezpiecznej komunikacji, a dane są związane z usługą.
Ruch RDP jest podwójnie szyfrowany. Tradycyjne wbudowane narzędzia do kontroli nie mogą go odszyfrować.
Duży ruch może przeciążać urządzenia zabezpieczeń. W takim scenariuszu inne usługi krytyczne, które współużytkują tę samą infrastrukturę, mogą zostać zakłócone.
Większość punktów końcowych jest hostowana w infrastrukturze firmy Microsoft.
Bezpośrednie lokalne wyjście do szkieletu Azure jest najbardziej efektywną i bezpieczną ścieżką. Z komputera w chmurze ruch pozostaje w globalnej sieci firmy Microsoft bez przechodzenia przez publiczny Internet.
Większość ruchu jest już szyfrowana za pomocą protokołu TLS, co chroni poufność podczas przesyłania.
Ruch na porcie TCP 80 nie zawiera danych prywatnych. Jest on wymagany w przypadku określonych funkcji, takich jak Azure komunikacji sieci szkieletowej i kontroli listy odwołania certyfikatów (CRL).
Wszelkie wyjątki są wyraźnie udokumentowane. Ruch, który nie spełnia tych kryteriów, jest identyfikowany w Windows 365 wymaganiach punktu końcowego i może podążać standardowymi ścieżkami internetowymi.
Uproszczenie wdrażania
Windows 365 oferuje dwie opcje łączności sieciowej. Wybranie odpowiedniego elementu może znacznie zmniejszyć złożoność, koszt i ryzyko.
Azure połączenie sieciowe (ANC): za pomocą usługi ANC zarządzasz podstawową łącznością. Wdrożenie tych wymagań często wymaga tygodni lub miesięcy pracy w celu skonfigurowania sieci, reguł zapory, tras zdefiniowanych przez użytkownika, usługi ExpressRoute i sieciowych grup zabezpieczeń (NSG) oraz trwającej konserwacji. Odzwierciedla tradycyjne rozszerzenie sieci firmowej, od którego odchodzi wiele organizacji.
Hostowana sieć firmy Microsoft: Opcja Hostowana sieć firmy Microsoft umożliwia szybkie wdrażanie z minimalnym obciążeniem sieciowym. Firma Microsoft projektuje, utrzymuje i zabezpiecza środowisko, aby zapewnić optymalną łączność. Głównym zadaniem jest upewnienie się, że kluczowy ruch pomija tunele SIECI VPN lub SWG, co jest zwykle szybkie do skonfigurowania. Ten model jest zgodny z zasadami Zero Trust i dobrze współpracuje z nowoczesnymi rozwiązaniami SWG i Private Access.
Wiele organizacji korzysta już z podobnego podejścia dla pracowników zdalnych, zapewniając laptopy zarządzane za pośrednictwem nowoczesnego zarządzania punktami końcowymi i Zero Trust. Usługa Microsoft Hosted Network stosuje tę samą koncepcję do komputerów w chmurze, traktując je jak bezpieczne urządzenia domowe, które tworzą tylko połączenia wychodzące. Ten projekt skraca osie czasu projektu, zwiększa elastyczność i upraszcza bieżące zarządzanie.
Więcej informacji na temat tego wyboru projektu można znaleźć w dokumentacji opcji wdrażania Windows 365.