Descripción general de los servicios de AWS red para las ofertas de SaaS - AWS Guía prescriptiva
Servicios de AWSCapacidadesCaracterísticas de seguridad

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Descripción general de los servicios de AWS red para las ofertas de SaaS

En esta sección se analizan los servicios AWS de red a los que se hace referencia en esta guía. También compara sus capacidades y describe las consideraciones de seguridad de cada servicio.

AWS servicios de red

Los siguientes son los Servicios de AWS que se analizan de forma coherente en esta guía.

AWS PrivateLinkes un servicio nativo de la nube que puede proporcionar acceso a su oferta de SaaS si sus clientes ya operan en el. Nube de AWS Su cliente se conecta a la oferta de SaaS a través de un punto final de VPC de interfaz. Se trata de una interfaz de red de punto final que se aprovisiona en una o más subredes de la del cliente. Cuenta de AWS En los escenarios de esta guía, el tráfico viaja a través del punto final de la VPC de la interfaz y llega a un Network Load Balancer de su cuenta. El Network Load Balancer reenvía el tráfico a la aplicación SaaS, que ha registrado como servicio de punto final. A través de los puntos finales de VPC de recursos, también AWS PrivateLink puede ayudarlo a acceder a otros recursos, como las bases de datos.

Amazon VPC Lattice

Amazon VPC Lattice es un servicio de redes de aplicaciones que ayuda a los proveedores de SaaS a ofrecer sus servicios de forma segura y eficiente a los clientes que operan en múltiples y. VPCs Cuentas de AWS Los clientes acceden a su oferta de SaaS a través de VPC Lattice, que ofrece una conectividad de red uniforme, controles de acceso sólidos y una gestión avanzada del tráfico. En estos escenarios, el tráfico fluye a través de VPC Lattice hacia los servicios de aplicaciones registrados. Proporciona una comunicación escalable y segura, independientemente del servicio informático que utilice.

Emparejamiento de VPC

El emparejamiento de VPC es una conexión de red entre dos nubes privadas virtuales (VPCs) que enruta el tráfico entre ellas mediante direcciones o IPv4 direcciones privadas. IPv6 La interconexión de VPC se suele utilizar entre entidades de confianza, como las que están dentro de la misma organización. Su cliente crea una solicitud de interconexión para una de las suyas. VPCs Si lo aceptas, el tráfico puede fluir entre ambos VPCs en cualquier dirección. Este enfoque de conexión destaca por su singularidad, ya que implica la comunicación directa entre dos VPCs sin ningún servicio intermediario o infraestructura que gestionar.

AWS Transit Gateway

AWS Transit Gatewayes un centro de tránsito de red centralizado que puede conectar VPCs conexiones de red privada virtual (VPN), AWS Direct Connect puertas de enlace, dispositivos virtuales de terceros en una VPC y otras puertas de enlace de tránsito. Una pasarela de tránsito puede tener una tabla de rutas diferente para cada adjunto. Esto proporciona la máxima flexibilidad de enrutamiento y le ayuda a aislar las redes. A menudo se usa para VPCs conectar muchas de ellas o para una inspección centralizada.

AWS Site-to-Site VPN

AWS Site-to-Site VPNpuede usar la tecnología de protocolo de seguridad de Internet (IPsec) para establecer conexiones entre redes locales, oficinas remotas, fábricas, otros proveedores de servicios en la nube y la red AWS global. La conexión se establece desde una puerta de enlace privada virtual o una puerta de enlace de tránsito en una VPC en la Nube de AWS hasta una puerta de enlace de cliente física o basada en software, que puede estar en las Nube de AWS instalaciones o en la nube de otro CSP. La conexión puede realizarse a través de Internet o mediante una conexión física. AWS Direct Connect También es posible tener una conexión Site-to-Site VPN acelerada mediante el uso de AWS Global Accelerator. Una conexión acelerada dirige el tráfico a una ubicación AWS perimetral y ofrece una latencia reducida y un rendimiento mejorado.

AWS Direct Connect

AWS Direct Connectestablece una conexión privada de alta velocidad entre un centro de datos local y el Nube de AWS. Al evitar la Internet pública, Direct Connect proporciona una conexión de baja latencia más confiable, segura y consistente al. Nube de AWS Los clientes se conectan a una de las Direct Connect ubicaciones y, a continuación, eligen una conexión alojada o dedicada a AWS. Si bien esta es una opción de arquitectura poco común para las ofertas de SaaS, puede ser adecuada para los proveedores de SaaS que tienen pocos consumidores pero son grandes empresas.

Comparación de las capacidades de los servicios

En la siguiente tabla se describen las capacidades compatibles Servicios de AWS que se describen en esta guía. A continuación se describen las capacidades incluidas en esta tabla:

  • Rangos de CIDR superpuestos: puede conectar dos o más redes con los mismos rangos de CIDR o superpuestos

  • Comunicación bidireccional: puede admitir un canal de comunicación bidireccional para que el consumidor de SaaS pueda exponer los recursos internos, como una base de datos, al proveedor de SaaS

  • IPv6 Puede admitir una o dos IPv6 pilas

  • Trama gigante: puede admitir tramas gigantes con un tamaño de trama de hasta 8.500 bytes

  • Nube híbrida: admite una conexión con una red local

  • Nube múltiple: puede admitir una conexión entre redes de diferentes proveedores de servicios en la nube

Servicio o enfoque

Intervalos de CIDR superpuestos

Comunicación bidireccional

IPv6

Marco jumbo

Nube híbrida

Nube múltiple

Interconexión con VPC

No

Sí 5

No

No

AWS PrivateLink

1

No 6

Número 6

Amazon VPC Lattice

1

Número 6

Número 6

AWS Transit Gateway

No

3

3

AWS Site-to-Site VPN

No

No

AWS Direct Connect

No

2

Acceso público a internet 4

No aplicable

No

  1. Con recursos de VPC en Amazon VPC Lattice

  2. Solo para interfaces virtuales privadas y de tránsito

  3. Con Site-to-Site VPN o AWS Direct Connect archivos adjuntos

  4. Como término general para AWS los recursos que hacen que una aplicación sea accesible públicamente, como Application Load Balancer

  5. Solo para interconectar conexiones dentro de una Región de AWS

  6. Es posible mediante una conexión de capa 3 preexistente entre los entornos

Características y consideraciones de seguridad

En la siguiente tabla se describen las características de seguridad Servicios de AWS que se describen en esta guía.

  • Medios de autenticación: cómo puede asegurarse de que solo sus clientes puedan conectarse a su servicio. Por lo general, todavía se requiere otro nivel de autenticación para las solicitudes entrantes, especialmente en los entornos de inquilinos compartidos.

  • Cifrado en tránsito: describe si el cifrado en tránsito se proporciona de forma predeterminada. El cifrado nativo describe el cifrado que AWS cubre todo el tráfico dentro VPCs VPCs, a través o entre los centros de datos. El cifrado complementario describe el cifrado que usted controla y que el servicio correspondiente puede detener.

Servicio o enfoque

Medios de autenticación

Cifrado en tránsito

Interconexión con VPC

Usted inicia una solicitud de intercambio entre pares Cuenta de AWS y la VPC de su cliente o acepta una solicitud que él inicie. Consulte Aceptar o rechazar una conexión de emparejamiento de VPC.

Solo cifrado nativo

AWS PrivateLink

Usted elige cuáles Cuentas de AWS están autorizados a crear puntos de conexión para su servicio. Estas cuentas se conocen como principales permitidas. Consulte Aceptar o rechazar solicitudes de conexión.

Solo cifrado nativo

Amazon VPC Lattice

Compartes un servicio o una red de servicios de VPC Lattice con tus clientes. Cuentas de AWS Consulte Compartir sus entidades de VPC Lattice.

Cifrado nativo y cifrado TLS complementario

AWS Transit Gateway

Su cliente crea una solicitud de adjunto entre pares a partir de su Cuenta de AWS cliente o usted inicia la solicitud. Consulte los archivos adjuntos de emparejamiento de Transit Gateways en Amazon VPC Transit Gateways.

Cifrado nativo y IPsec cifrado complementario con un adjunto de VPN

AWS Site-to-Site VPN

Utiliza claves IPsec previamente compartidas o un certificado privado en el dispositivo del cliente. Consulte las opciones de autenticación de AWS Site-to-Site VPN túnel.

IPsec Cifrado complementario

AWS Direct Connect

Su cliente crea una solicitud de interfaz virtual desde su Cuenta de AWS. Consulte las interfaces Direct Connect virtuales y las interfaces virtuales alojadas.

Es posible el cifrado de capa 2 adicional en sitios seleccionados. Consulte Direct Connect las ubicaciones.

Acceso público a internet 1

Se requiere una autenticación personalizada.

Es posible el cifrado TLS adicional

  1. Como término general para AWS los recursos que hacen que una aplicación sea accesible públicamente, como Application Load Balancer