AWS Site-to-Site VPN de IP privada con Direct Connect
Con la VPN de IP privada, puede implementar la VPN IPsec sobre Direct Connect, lo que permite cifrar el tráfico entre su red en las instalaciones y AWS, sin necesidad de utilizar direcciones IP públicas ni equipos de VPN adicionales de terceros.
Uno de los principales casos de uso de la VPN de IP privada sobre Direct Connect es ayudar a los clientes de los sectores financiero, sanitario y federal a cumplir los objetivos normativos y de cumplimiento. La VPN de IP privada a través de Direct Connect garantiza que el tráfico entre AWS y las redes en las instalaciones es seguro y privado, lo que permite a los clientes cumplir sus mandatos normativos y de seguridad.
Beneficios de la VPN de IP privada
-
Administración y operaciones de red simplificadas: sin la VPN de IP privada, los clientes tienen que desplegar VPN y enrutadores de terceros para implementar las VPN privadas en las redes de Direct Connect. Con la capacidad de VPN de IP privada, los clientes no tienen que implementar ni administrar su propia infraestructura de VPN. De este modo, se simplifican las operaciones de la red y se reducen los costos.
-
Posición de seguridad mejorada: anteriormente, los clientes tenían que utilizar una interfaz virtual (VIF) pública de Direct Connect para cifrar el tráfico a través de Direct Connect, lo que requiere direcciones IP públicas para los puntos de conexión de la VPN. El uso de IP públicas aumenta la probabilidad de ataques externos (DOS), lo que a su vez obliga a los clientes a implementar equipos de seguridad adicionales para la protección de la red. Además, una VIF pública abre el acceso entre todos los servicios públicos de AWS y las redes de los clientes en las instalaciones, lo que aumenta la gravedad del riesgo. La característica de VPN de IP privada permite el cifrado a través de VIF de tránsito de Direct Connect (en lugar de VIF públicas), junto con la posibilidad de configurar IP públicas. Esto proporciona una conectividad privada de extremo a extremo, además del cifrado, lo que mejora la posición de seguridad general.
-
Mayor escala de rutas: las conexiones VPN de IP privada ofrecen límites de rutas más altos (5000 rutas de salida y 1000 de entrada) en comparación con Direct Connect solamente, que en la actualidad tienen un límite de 200 rutas de salida y 100 de entrada.
Cómo funciona la VPN de IP privada
La IP privada de Site-to-Site VPN funciona sobre una interfaz virtual (VIF) de tránsito de Direct Connect. Utiliza una puerta de enlace de Direct Connect y otra de tránsito para interconectar sus redes en las instalaciones con las VPC de AWS. Una conexión de VPN de IP privada tiene puntos de terminación en la puerta de enlace de tránsito en AWS y en su dispositivo de puerta de enlace de cliente en las instalaciones. Debe asignar direcciones IP privadas a la puerta de enlace de tránsito y a los extremos del dispositivo de puerta de enlace de cliente de los túneles IPsec. Puede utilizar direcciones IP privadas de los rangos de direcciones IPv4 privadas RFC1918 o RFC6598.
Adjunta una conexión de VPN de IP privada a una puerta de enlace de tránsito. A continuación, enruta el tráfico entre la conexión de VPN y cualquier VPC (u otras redes) que también estén conectadas a la puerta de enlace de tránsito. Esto se hace asociando una tabla de enrutamiento con la conexión de VPN. En la dirección inversa, puede enrutar el tráfico de sus VPC a la conexión de VPN de IP privada mediante las tablas de enrutamiento que están asociadas a las VPC.
La tabla de enrutamiento asociada a la conexión de VPN puede ser la misma o distinta que la asociada a la conexión de Direct Connect subyacente. De esta forma, podrá enrutar simultáneamente el tráfico cifrado y no cifrado entre sus VPC y sus redes en las instalaciones.
Para obtener más información sobre la ruta de tráfico que sale de la VPN, consulte las políticas de enrutamiento de la interfaz virtual privada y de la interfaz virtual de tránsito en la Guía del usuario de Direct Connect.
