Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Informazioni generali
Global Secure Access supporta due opzioni di connettività: l'installazione di un client in un dispositivo dell'utente finale e la configurazione di una rete remota, ad esempio una posizione di succursale con un router fisico. La connettività di rete remota semplifica il modo in cui gli utenti finali e gli utenti guest si connettono da una rete remota senza dover installare il client di accesso sicuro globale.
Questo articolo descrive i concetti chiave della connettività di rete remota insieme agli scenari comuni in cui è utile.
Che cos'è una rete remota?
Le reti remote sono posizioni o reti remote che richiedono la connettività Internet. Ad esempio, molte organizzazioni dispongono di una sede centrale e di succursali in aree geografiche diverse. Queste succursali devono accedere ai dati e ai servizi aziendali. Hanno bisogno di un modo sicuro per comunicare con il data center, la sede centrale e i lavoratori remoti. La sicurezza delle reti remote è fondamentale per molti tipi di organizzazioni.
In genere, si connettono reti remote, ad esempio una succursale, alla rete aziendale tramite una rete WAN (Wide Area Network) dedicata o una connessione VPN (Virtual Private Network). I dipendenti nella sede della succursale si connettono alla rete usando le apparecchiature locali del cliente (CPE).
Sfide attuali della sicurezza di rete remota
I requisiti di larghezza di banda sono aumentati : il numero di dispositivi che richiedono l'accesso a Internet aumenta in modo esponenziale. Le reti tradizionali sono difficili da ridimensionare. Con l'avvento di applicazioni SaaS (Software as a Service) come Microsoft 365, ci sono sempre più richieste di bassa latenza e comunicazione senza instabilità con tecnologie tradizionali come Wan (Wide Area Network) e MPLS (Multi-Protocol Label Switching).
I team IT sono costosi : in genere i firewall vengono posizionati nei dispositivi fisici locali, che richiedono un team IT per la configurazione e la manutenzione. La gestione di un team IT in ogni sede di succursale è costosa.
Minacce in evoluzione : gli attori malintenzionati continuano a trovare nuove vie per attaccare i dispositivi ai margini delle reti. I dispositivi perimetrali nelle succursali o anche negli uffici domestici sono spesso il punto di attacco più vulnerabile.
Suggerimento
Per indicazioni sul miglioramento della resilienza delle reti remote, vedere Procedure consigliate per la resilienza della rete remota di Accesso sicuro globale.
Come funziona la connettività di rete remota di Accesso sicuro globale?
Per connettere una rete remota all'accesso sicuro globale, configurare un tunnel IPsec (Internet Protocol Security) tra le apparecchiature locali e l'endpoint Di accesso sicuro globale. Instradare il traffico specificato tramite il tunnel IPsec all'endpoint di accesso sicuro globale più vicino. È possibile applicare i criteri di sicurezza nel Interfaccia di amministrazione di Microsoft Entra.
La connettività di rete remota di Accesso sicuro globale offre una soluzione sicura tra una rete remota e il servizio Accesso sicuro globale. Non fornisce una connessione sicura tra una rete remota e un'altra. Per ulteriori informazioni sulla connettività tra reti remote, consultare la documentazione di rete WAN virtuale di Azure.
Profili di inoltro del traffico supportati
Le reti remote supportano profili di inoltro del traffico diversi per l'acquisizione del traffico. I profili di inoltro del traffico controllano quale traffico viene instradato tramite Global Secure Access. I profili di sicurezza, ad esempio il profilo di base, controllano i criteri applicati al traffico acquisito.
| Profilo di inoltro del traffico | Client di Global Secure Access | Rete remota |
|---|---|---|
| Traffico di dati di Microsoft | ✅ Sostenuto | ✅ Sostenuto |
| Accesso a Internet | ✅ Sostenuto | ✅ Sostenuto |
| Accesso privato | ✅ Sostenuto | ❌ Non supportato |
Importante
È possibile assegnare i profili di inoltro del traffico di Microsoft e Internet Access alle reti remote. Il profilo di inoltro del traffico Private Access richiede l'installazione del client Global Secure Access sui dispositivi degli utenti finali. Per altre informazioni, vedere Assegnare un profilo di traffico a una rete remota e Informazioni sui profili di inoltro del traffico.
Dopo aver acquisito il traffico tramite un profilo di inoltro, applica le politiche di sicurezza utilizzando i profili di sicurezza. Il profilo di sicurezza di base applica i criteri a livello di tenant per tutto il traffico instradato tramite Accesso sicuro globale, incluso il traffico di rete remoto. I profili di sicurezza sensibili all'utente associati ai criteri di Accesso Condizionale richiedono il client Global Secure Access.
Applicazione del profilo di traffico nei collegamenti dei dispositivi di rete remota
L'accesso sicuro globale applica i profili di inoltro del traffico per tutti i collegamenti di dispositivo, ad esempio i tunnel IPsec, associati a una rete remota. Inoltra solo i tipi di traffico che corrispondono a un profilo di inoltro del traffico abilitato e associato. Il gateway di accesso sicuro globale elimina tutto l'altro traffico.
Questa imposizione significa:
- Se si associa solo il profilo di traffico Microsoft a una rete remota, il gateway di accesso sicuro globale elimina qualsiasi traffico non Microsoft (ad esempio il traffico Internet generale) inviato tramite il collegamento del dispositivo.
- Se si associa solo il profilo di traffico Internet Access a una rete remota, il gateway di accesso sicuro globale elimina qualsiasi traffico Microsoft inviato tramite il collegamento del dispositivo.
Importante
Per evitare perdite di traffico impreviste, associare both il profilo di traffico Microsoft e il profilo del traffico di accesso Internet Access con la rete remota, se la licenza è autorizzata. Questa configurazione garantisce che il profilo appropriato gestisca tutto il traffico inoltrato tramite il tunnel IPsec anziché eliminarlo automaticamente nel gateway.
Per informazioni dettagliate sui profili di inoltro del traffico disponibili e sulla relativa configurazione, vedere Profili di inoltro del traffico di accesso sicuro globale.
Perché la connettività di rete remota è importante per l'utente?
Mantenere la sicurezza di una rete aziendale è sempre più difficile in un mondo di lavoro remoto e team distribuiti. Security Service Edge (SSE) promette un mondo di sicurezza in cui i clienti possono accedere alle risorse aziendali da qualsiasi parte del mondo senza dover eseguire il backhauling del traffico verso la sede centrale.
Scenari comuni di connettività di rete remota
Non voglio installare i client in migliaia di dispositivi locali.
Generalmente, si applica SSE installando il client su un dispositivo. Il client crea un tunnel per l'endpoint SSE più vicino e indirizza tutto il traffico Internet attraverso di esso. Le soluzioni SSE controllano il traffico e applicano i criteri di sicurezza. Se gli utenti non sono mobili e si trovano in una posizione di succursale fisica, la connettività di rete remota per tale località di succursale rimuove il dolore dell'installazione del client in ogni dispositivo. È possibile connettere l'intera località di succursale creando un tunnel IPSec tra il router principale della succursale e l'endpoint di accesso sicuro globale.
Non è possibile installare i client in tutti i dispositivi di proprietà dell'organizzazione.
In alcuni casi, non è possibile installare il client in tutti i dispositivi. L'accesso sicuro globale offre attualmente client per Windows, macOS, Android e iOS. Ma che ne dici di Linux, mainframe, fotocamere, stampanti e altri tipi di dispositivi locali e che inviano traffico a Internet? È comunque necessario monitorare e proteggere questo traffico. Quando si connette una rete remota, è possibile impostare criteri per tutto il traffico proveniente da tale posizione indipendentemente dal dispositivo in cui ha avuto origine.
Ho guest nella rete che non hanno installato il client.
I dispositivi guest nella rete potrebbero non avere installato il client. Per assicurarsi che tali dispositivi rispettino i criteri di sicurezza di rete, è necessario indirizzare il traffico attraverso l'endpoint di accesso sicuro globale. La connettività di rete remota risolve questo problema. Non è necessario installare il client nei dispositivi guest. Tutto il traffico in uscita dalla rete remota passa attraverso la valutazione della sicurezza per impostazione predefinita.
Qual è l'allocazione della larghezza di banda per ogni tenant?
Il numero di licenze acquistate determina l'allocazione totale della larghezza di banda. Ogni licenza Microsoft Entra ID P1, licenza di Accesso a Internet Microsoft Entra e licenza Famiglia di prodotti Microsoft Entra aumenta la larghezza di banda totale. È possibile assegnare la larghezza di banda per le reti remote ai tunnel IPsec con incrementi di 250 Mbps, 500 Mbps, 750 Mbps o 1.000 Mbps. Questa flessibilità consente di allocare larghezza di banda a percorsi di rete remoti diversi in base alle esigenze specifiche. Per ottenere prestazioni ottimali, Microsoft consiglia di configurare almeno due tunnel IPsec per ogni posizione per la disponibilità elevata. La tabella seguente illustra la larghezza di banda totale in base al numero di licenze acquistate.
Allocazione iniziale della larghezza di banda
| Numero di licenze | Larghezza di banda totale (Mbps) |
|---|---|
| 50 – 99 | 500 Mbps |
| 100 – 499 | 1.000 Mbps |
| 500 – 999 | 2.000 Mbps |
| 1,000 – 1,499 | 3.500 Mbps |
| 1,500 – 1,999 | 4.000 Mbps |
| 2,000 – 2,499 | 4.500 Mbps |
| 2,500 – 2,999 | 5.000 Mbps |
| 3,000 – 3,499 | 5.500 Mbps |
| 3,500 – 3,999 | 6.000 Mbps |
| 4,000 – 4,499 | 6.500 Mbps |
| 4,500 – 4,999 | 7.000 Mbps |
| 5,000 – 5,499 | 10.000 Mbps |
| 5,500 – 5,999 | 10.500 Mbps |
| 6,000 – 6,499 | 11.000 Mbps |
| 6,500 – 6,999 | 11.500 Mbps |
| 7,000 – 7,499 | 12.000 Mbps |
| 7,500 – 7,999 | 12.500 Mbps |
| 8,000 – 8,499 | 13.000 Mbps |
| 8,500 – 8,999 | 13.500 Mbps |
| 9,000 – 9,499 | 14.000 Mbps |
| 9,500 – 9,999 | 14.500 Mbps |
| 10.000 + | 35.000 Mbps + |
Note della tabella
- Per usare la funzionalità di connettività di rete remota sono necessarie almeno 50 licenze.
- Il numero di licenze è il numero totale di licenze acquistate (Microsoft Entra ID P1 + Accesso a Internet Microsoft Entra /Famiglia di prodotti Microsoft Entra). Dopo 10.000 licenze, si ottengono 500 Mbps aggiuntivi per ogni 500 licenze acquistate (ad esempio, 11.000 licenze = 36.000 Mbps).
- Le organizzazioni che superano 10.000 licenze spesso operano su scala aziendale e necessitano di un'infrastruttura più solida. Il passaggio a 35.000 Mbps garantisce un'ampia capacità per soddisfare le esigenze di tali distribuzioni, supporta volumi di traffico più elevati e offre la flessibilità necessaria per espandere le allocazioni della larghezza di banda in base alle esigenze.
- Se è necessaria una maggiore larghezza di banda, è possibile acquistare una larghezza di banda aggiuntiva in incrementi di 500 Mbps tramite lo SKU Larghezza di banda di rete remota.
Esempi di larghezza di banda allocata per utente
Tenant 1:
- 1.000 licenze Microsoft Entra ID P1
- Allocata: 1.000 licenze, 3.500 Mbps
Tenant two:
- 3.000 licenze P1 Microsoft Entra ID
- 3.000 licenze di Accesso Internet
- Allocata: 6.000 licenze, 11.000 Mbps
Tenant 3:
- 8.000 licenze Microsoft Entra ID P1
- 6.000 licenze Famiglia di prodotti Microsoft Entra
- Allocata: 14.000 licenze, 39.000 Mbps
Esempi di distribuzione della larghezza di banda per reti remote
Tenant 1:
Larghezza di banda totale: 3.500 Mbps
Allocazione:
- Sito A: 2 tunnel IPsec: 2 x 250 Mbps = 500 Mbps
- Sito B: 2 tunnel IPsec da 250 Mbps ciascuno = 500 Mbps in totale
- Sito C: 2 tunnel IPsec: 2 x 500 Mbps = 1 000 Mbps
- Sito D: 2 tunnel IPsec: 2 × 750 Mbps = 1.500 Mbps
Larghezza di banda rimanente: nessuna
Tenant two:
Larghezza di banda totale: 11.000 Mbps
Allocazione:
- Sito A: 2 tunnel IPsec: 2 x 250 Mbps = 500 Mbps
- Sito B: 2 tunnel IPsec: 2 x 500 Mbps = 1.000 Mbps
- Sito C: 2 tunnel IPsec: 2 x 750 Mbps = 1.500 Mbps
- Sito D: 2 tunnel IPsec: 2 x 1.000 Mbps = 2.000 Mbps
- Sito E: 2 tunnel IPsec: 2 x 1.000 Mbps = 2.000 Mbps
Larghezza di banda rimanente: 4.000 Mbps
Tenant 3:
Larghezza di banda totale: 39.000 Mbps
Allocazione:
- Sito A: 2 tunnel IPsec: 2 x 250 Mbps = 500 Mbps
- Sito B: 2 tunnel IPsec: 2 x 500 Mbps = 1.000 Mbps
- Sito C: 2 tunnel IPsec: 2 x 750 Mbps = 1.500 Mbps
- Sito D: 2 tunnel IPsec: 2 × 750 Mbps = 1.500 Mbps
- Sito E: 2 tunnel IPsec: 2 x 1.000 Mbps = 2.000 Mbps
- Sito F: 2 tunnel IPsec: 2 x 1.000 Mbps = 2.000 Mbps
- Sito G: 2 tunnel IPsec: 2 x 1.000 Mbps = 2.000 Mbps
Larghezza di banda rimanente: 28.500 Mbps