本節探討在內部部署與 Azure 之間以及跨 Azure 區域達成網路加密的重要建議。
設計考量
成本和可用頻寬會與端點之間的加密通道長度成反比。
Azure 虛擬網絡加密增強了 Azure 中現有的傳輸加密功能,使虛擬機器和虛擬機器規模集之間的流量加密和解密更為順暢。
當您使用 VPN 連線到 Azure 時,流量會透過 IPsec 通道透過因特網加密。
當您搭配私人對等互連使用 Azure ExpressRoute 時,流量目前不會加密。
可以在 ExpressRoute 私有對等連接上配置站對站 VPN 連接。
您可以將媒體存取控制安全性 (MACsec) 加密套用至 ExpressRoute Direct,以達到網路加密。
當 Azure 流量在資料中心之間移動時(在不受 Microsoft 或代表 Microsoft 控制的物理邊界之外),會在基礎網路硬體上使用 MACsec 數據連結層加密。 這適用於虛擬網路對等連線流量。
設計建議
說明加密流程的圖表。
圖 1:加密流程。
當您使用 VPN 閘道從內部部署到 Azure 建立 VPN 連線時,流量會透過 IPsec 通道在通訊協定層級加密。 上圖顯示此加密在流程
A中。如果您需要在相同虛擬網路內或跨區域或全域對等虛擬網路中加密從 VM 到 VM 的流量,請使用 虛擬網路加密。
當您使用 ExpressRoute Direct 時,請設定 MACsec 以加密您組織的路由器與 MSEE 之間第 2 層的資料傳輸。 此圖表顯示此流程
B中的加密。對於 MACsec 不是選項的虛擬 WAN 案例(例如,不使用 ExpressRoute Direct),請使用虛擬 WAN VPN 閘道透過 ExpressRoute 私人對等建立 IPsec 通道。 此圖表顯示此流程
B中的加密。針對非虛擬 WAN 案例,以及 MACsec 不是選項(例如,不使用 ExpressRoute Direct),唯一的選項為:
- 使用合作夥伴 NVA 透過 ExpressRoute 私人對等互連建立 IPsec 通道。
- 使用 Microsoft 對等互連,在 ExpressRoute 上建立 VPN 通道。
- 評估設定透過 ExpressRoute 私人對等互連的站對站 VPN 連線的能力。
如果原生的 Azure 解決方案(如圖表中顯示的流程
B和C)不符合您的需求,請使用 Azure 中的合作夥伴網路虛擬設備(NVA),透過 ExpressRoute 的私人對等連接來加密流量。