Überblick über AWS Netzwerkdienste für SaaS-Angebote - AWS Präskriptive Leitlinien
AWS-ServicesCapabilitiesSicherheits-Features

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überblick über AWS Netzwerkdienste für SaaS-Angebote

In diesem Abschnitt werden die AWS Netzwerkdienste beschrieben, auf die in diesem Handbuch verwiesen wird. Außerdem werden ihre Funktionen verglichen und Sicherheitsaspekte für jeden Dienst beschrieben.

AWS Netzwerkdienste

Die folgenden werden in diesem Handbuch regelmäßig behandelt. AWS-Services

AWS PrivateLinkist ein Cloud-nativer Dienst, der den Zugriff auf Ihr SaaS-Angebot ermöglicht, wenn Ihre Kunden bereits in der AWS Cloud. Ihr Kunde stellt über eine VPC-Schnittstelle eine Verbindung zum SaaS-Angebot her. Dies ist eine Endpunkt-Netzwerkschnittstelle, die in einem oder mehreren Subnetzen des Kunden bereitgestellt wird. AWS-Konto In den Szenarien in diesem Handbuch wird der Datenverkehr über den VPC-Endpunkt der Schnittstelle geleitet und erreicht einen Network Load Balancer in Ihrem Konto. Der Network Load Balancer leitet den Datenverkehr an die SaaS-Anwendung weiter, die Sie als Endpunktdienst registriert haben. Über Ressourcen-VPC-Endpunkte AWS PrivateLink können Sie auch auf andere Ressourcen wie Datenbanken zugreifen.

Amazon VPC Lattice

Amazon VPC Lattice ist ein Anwendungsnetzwerk-Service, der SaaS-Anbietern hilft, ihre Dienste Kunden, die in mehreren VPCs Ländern tätig sind, sicher und effizient anzubieten. AWS-Konten Kunden greifen über VPC Lattice auf Ihr SaaS-Angebot zu, das konsistente Netzwerkkonnektivität, robuste Zugriffskontrollen und erweitertes Verkehrsmanagement bietet. In diesen Szenarien fließt der Datenverkehr über VPC Lattice zu Ihren registrierten Anwendungsdiensten. Es bietet skalierbare und sichere Kommunikation, unabhängig davon, welchen Rechendienst Sie verwenden.

VPC-Peering

VPC-Peering ist eine Netzwerkverbindung zwischen zwei virtuellen privaten Clouds (VPCs), die den Verkehr zwischen ihnen mithilfe von privaten IPv4 Adressen oder IPv6 Adressen weiterleitet. VPC-Peering wird in der Regel zwischen vertrauenswürdigen Entitäten verwendet, z. B. zwischen Entitäten innerhalb derselben Organisation. Ihr Kunde erstellt eine Peering-Anfrage an einen von Ihnen. VPCs Wenn Sie sie akzeptieren, kann der Verkehr zwischen beiden Seiten VPCs in beide Richtungen fließen. Dieser Verbindungsansatz zeichnet sich durch seine Einzigartigkeit aus, da er eine direkte Kommunikation zwischen zwei Personen beinhaltet, VPCs ohne dass ein zwischengeschalteter Dienst oder eine Infrastruktur verwaltet werden muss.

AWS Transit Gateway

AWS Transit Gatewayist ein zentraler Netzwerk-Transit-Hub VPCs, der Verbindungen zu virtuellen privaten Netzwerken (VPN), AWS Direct Connect Gateways, virtuelle Appliances von Drittanbietern in einer VPC und andere Transit-Gateways herstellen kann. Ein Transit-Gateway kann für jeden Anhang eine andere Routentabelle haben. Dies bietet maximale Flexibilität beim Routing und hilft Ihnen, die Netzwerke zu isolieren. Es wird häufig verwendet, um mehrere Geräte VPCs miteinander zu verbinden oder für zentrale Inspektionen.

AWS Site-to-Site VPN

AWS Site-to-Site VPNkann die Internet Protocol Security (IPsec) -Technologie verwenden, um Verbindungen zwischen lokalen Netzwerken, Außenstellen, Fabriken, anderen Cloud-Anbietern und dem AWS globalen Netzwerk herzustellen. Die Verbindung wird von einem virtuellen privaten Gateway oder Transit-Gateway in einer VPC in der AWS Cloud zu einem physischen oder softwarebasierten Kunden-Gateway hergestellt, das sich in der Cloud AWS Cloud, vor Ort oder in der Cloud eines anderen CSP befinden kann. Die Verbindung kann über das Internet oder über eine physische Verbindung erfolgen. AWS Direct Connect Es ist auch möglich, eine beschleunigte Site-to-Site VPN-Verbindung herzustellen, indem Sie AWS Global Accelerator. Eine beschleunigte Verbindung leitet den Datenverkehr an einen AWS Edge-Standort weiter und bietet eine geringere Latenz und eine verbesserte Leistung.

AWS Direct Connect

AWS Direct Connectstellt eine private Hochgeschwindigkeitsverbindung zwischen einem lokalen Rechenzentrum und dem AWS Cloud her. Durch die Umgehung des öffentlichen Internets wird eine zuverlässigere, sicherere und konsistentere Verbindung mit niedriger Latenz zum Direct Connect ermöglicht. AWS Cloud Kunden stellen eine Verbindung zu einem der Direct Connect Standorte her und wählen dann entweder eine gehostete oder eine dedizierte Verbindung zu AWS. Obwohl dies eine ungewöhnliche Architekturwahl für SaaS-Angebote ist, kann sie sich gut für SaaS-Anbieter eignen, die nur wenige, aber große Unternehmenskunden haben.

Vergleich der Servicekapazitäten

In der folgenden Tabelle sind die unterstützten Funktionen von aufgeführt AWS-Services , die in diesem Handbuch beschrieben werden. Im Folgenden werden die in dieser Tabelle enthaltenen Funktionen beschrieben:

  • Überlappende CIDR-Bereiche — Kann zwei oder mehr Netzwerke mit denselben oder sich überschneidenden CIDR-Bereichen verbinden

  • Bidirektionale Kommunikation Kann einen bidirektionalen Kommunikationskanal unterstützen, sodass der SaaS-Nutzer dem SaaS-Anbieter interne Ressourcen wie eine Datenbank zur Verfügung stellen kann

  • IPv6 Kann entweder Single IPv6 - oder Dual-Stack unterstützen

  • Jumbo-Frame Kann Jumbo-Frames mit einer Framegröße von bis zu 8.500 Byte unterstützen

  • Hybrid-Cloud Kann eine Verbindung mit einem lokalen Netzwerk unterstützen

  • Multi-Cloud — Kann eine Verbindung zwischen Netzwerken verschiedener Cloud-Dienstanbieter unterstützen

Service oder Ansatz

Überlappende CIDR-Bereiche

Bidirektionale Kommunikation

IPv6

Jumbo-Rahmen

Hybride Wolke

Multi-Cloud

VPC-Peering

Nein

Ja

Ja

Ja 5

Nein

Nein

AWS PrivateLink

Ja

Ja 1

Ja

Ja

Nein 6

Nein 6

Amazon VPC Lattice

Ja

Ja 1

Ja

Ja

Nein 6

Nein 6

AWS Transit Gateway

Nein

Ja

Ja

Ja

Ja 3

Ja 3

AWS Site-to-Site VPN

Nein

Ja

Ja

Nein

Ja

Ja

AWS Direct Connect

Nein

Ja

Ja

Ja 2

Ja

Ja

Öffentlicher Internetzugang 4

Nicht zutreffend

Nein

Ja

Ja

Ja

Ja

  1. Mit VPC-Ressourcen in Amazon VPC Lattice

  2. Nur für private und virtuelle Transitschnittstellen

  3. Mit Site-to-Site VPN oder AWS Direct Connect Anhängen

  4. Als allgemeiner Begriff für AWS Ressourcen, die eine Anwendung öffentlich zugänglich machen, wie z. B. ein Application Load Balancer

  5. Nur für Peering-Verbindungen innerhalb einer AWS-Region

  6. Möglich durch eine bereits bestehende Layer-3-Verbindung zwischen den Umgebungen

Sicherheitsmerkmale und Überlegungen

In der folgenden Tabelle werden die Sicherheitsfunktionen von beschrieben AWS-Services , die in diesem Handbuch behandelt werden.

  • Authentifizierungsmethoden — So können Sie sicherstellen, dass nur Ihre Kunden eine Verbindung zu Ihrem Service herstellen können. Eine weitere Authentifizierungsebene für eingehende Anfragen ist in der Regel immer noch erforderlich, insbesondere in Umgebungen mit gemeinsam genutzten Mandanten.

  • Verschlüsselung bei der Übertragung — Beschreibt, ob die Verschlüsselung bei der Übertragung standardmäßig bereitgestellt wird. Systemeigene Verschlüsselung beschreibt eine Verschlüsselung, die für den gesamten Datenverkehr innerhalb VPCs VPCs, zwischen oder zwischen Rechenzentren AWS sorgt. Zusätzliche Verschlüsselung beschreibt eine Verschlüsselung, die Sie kontrollieren und die durch den jeweiligen Dienst gestoppt werden kann.

Dienst oder Ansatz

Mittel der Authentifizierung

Verschlüsselung während der Übertragung

VPC-Peering

Sie initiieren eine Peering-Anfrage an die AWS-Konto VPC Ihres Kunden oder akzeptieren eine Anfrage, die dieser initiiert. Siehe Annehmen oder Ablehnen einer VPC-Peering-Verbindung.

Nur native Verschlüsselung

AWS PrivateLink

Sie wählen aus, AWS-Konten welche Endpunkte für Ihren Service erstellen dürfen. Diese Konten werden als zulässige Hauptbenutzer bezeichnet. Siehe Verbindungsanfragen annehmen oder ablehnen.

Nur native Verschlüsselung

Amazon VPC Lattice

Sie teilen sich einen VPC-Lattice-Dienst oder ein Servicenetzwerk mit Ihren Kunden. AWS-Konten Siehe Teilen Sie Ihre VPC Lattice-Entitäten.

Native Verschlüsselung und ergänzende TLS-Verschlüsselung

AWS Transit Gateway

Ihr Kunde erstellt anhand seiner Anfrage eine Anfrage für einen Peering-Anhang AWS-Konto, oder Sie initiieren die Anfrage. Siehe Transit-Gateway-Peering-Anlagen in Amazon VPC Transit Gateways.

Systemeigene Verschlüsselung und zusätzliche IPsec Verschlüsselung mit einem VPN-Anhang

AWS Site-to-Site VPN

Sie verwenden IPsec Pre-Shared Keys oder ein privates Zertifikat auf dem Gerät des Kunden. Siehe Optionen für die AWS Site-to-Site VPN Tunnelauthentifizierung.

Zusätzliche IPsec Verschlüsselung

AWS Direct Connect

Ihr Kunde erstellt eine virtuelle Schnittstellenanfrage von seinem AWS-Konto. Siehe Direct Connect virtuelle Schnittstellen und gehostete virtuelle Schnittstellen.

Zusätzliche Layer-2-Verschlüsselung an ausgewählten Standorten möglich. Siehe Direct Connect Standorte.

Öffentlicher Internetzugang 1

Eine benutzerdefinierte Authentifizierung ist erforderlich.

Zusätzliche TLS-Verschlüsselung möglich

  1. Als allgemeiner Begriff für AWS Ressourcen, die eine Anwendung öffentlich zugänglich machen, wie z. B. ein Application Load Balancer