Vue d'ensemble des services AWS réseau pour les offres SaaS - AWS Conseils prescriptifs
Services AWSFonctionnalitésFonctions de sécurité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Vue d'ensemble des services AWS réseau pour les offres SaaS

Cette section décrit les services AWS réseau référencés dans ce guide. Il compare également leurs capacités et décrit les considérations de sécurité pour chaque service.

AWS services de mise en réseau

Les Services AWS points suivants sont abordés de manière cohérente dans ce guide.

AWS PrivateLinkest un service cloud natif qui peut donner accès à votre offre SaaS si vos clients opèrent déjà dans le AWS Cloud. Votre client se connecte à l'offre SaaS via un point de terminaison VPC d'interface. Il s'agit d'une interface réseau de point de terminaison qui est provisionnée dans un ou plusieurs sous-réseaux du client. Compte AWS Dans les scénarios présentés dans ce guide, le trafic passe par le point de terminaison VPC de l'interface et arrive à un Network Load Balancer de votre compte. Le Network Load Balancer transmet le trafic vers l'application SaaS, que vous avez enregistrée en tant que service de point de terminaison. Les points de terminaison VPC AWS PrivateLink peuvent également vous aider à accéder à d'autres ressources, telles que des bases de données.

Amazon VPC Lattice

Amazon VPC Lattice est un service de mise en réseau d'applications qui aide les fournisseurs de SaaS à proposer leurs services de manière sécurisée et efficace aux clients qui opèrent sur plusieurs et. VPCs Comptes AWS Les clients accèdent à votre offre SaaS via VPC Lattice, qui fournit une connectivité réseau cohérente, des contrôles d'accès robustes et une gestion avancée du trafic. Dans ces scénarios, le trafic circule via VPC Lattice vers vos services d'application enregistrés. Il fournit des communications évolutives et sécurisées, quel que soit le service informatique que vous utilisez.

Appairage de VPC

Le peering VPC est une connexion réseau entre deux clouds privés virtuels (VPCs) qui achemine le trafic entre eux à l'aide d'adresses ou d' IPv4 adresses privées. IPv6 Le peering VPC est généralement utilisé entre des entités de confiance, comme celles d'une même organisation. Votre client crée une demande de peering pour l'un de vos VPCs clients. Lorsque vous l'acceptez, le trafic peut circuler entre les deux VPCs dans les deux sens. Cette approche de connexion se distingue par son caractère unique car elle implique une communication directe entre deux personnes VPCs sans aucun service intermédiaire ni infrastructure à gérer.

AWS Transit Gateway

AWS Transit Gatewayest un hub de transit réseau centralisé qui peut connecter des connexions à un réseau privé virtuel (VPN) VPCs, des AWS Direct Connect passerelles, des dispositifs virtuels tiers dans un VPC et d'autres passerelles de transit. Une passerelle de transit peut avoir une table de routage différente pour chaque pièce jointe. Cela fournit une flexibilité maximale pour le routage et vous aide à isoler les réseaux. Il est souvent utilisé pour connecter plusieurs personnes entre VPCs elles ou pour une inspection centralisée.

AWS Site-to-Site VPN

AWS Site-to-Site VPNpeut utiliser la technologie Internet Protocol Security (IPsec) pour établir des connexions entre les réseaux locaux, les bureaux distants, les usines, les autres fournisseurs de cloud et le réseau AWS mondial. La connexion est établie à partir d'une passerelle privée virtuelle ou d'une passerelle de transit dans un VPC AWS Cloud vers une passerelle client physique ou logicielle, qui peut se trouver dans le cloud, sur site ou dans le AWS Cloud cloud d'un autre CSP. La connexion peut se faire via Internet ou via une AWS Direct Connect connexion physique. Il est également possible d'avoir une connexion Site-to-Site VPN accélérée en utilisant AWS Global Accelerator. Une connexion accélérée achemine le trafic vers un emplacement AWS périphérique, tout en réduisant le temps de latence et en améliorant les performances.

AWS Direct Connect

AWS Direct Connectétablit une connexion privée haut débit entre un centre de données sur site et le AWS Cloud. En contournant l'Internet public, Direct Connect fournit une connexion à faible latence plus fiable, sécurisée et cohérente au AWS Cloud. Les clients se connectent à l'un Direct Connect des sites, puis choisissent une connexion hébergée ou dédiée à AWS. Bien qu'il s'agisse d'un choix d'architecture peu courant pour les offres SaaS, il peut convenir aux fournisseurs de solutions SaaS qui comptent peu d'entreprises, mais de grandes entreprises.

Comparaison des capacités des services

Le tableau suivant décrit les fonctionnalités prises en Services AWS charge décrites dans ce guide. Les fonctionnalités incluses dans ce tableau sont décrites ci-dessous :

  • Plages d'adresses CIDR qui se chevauchent : permet de connecter deux réseaux ou plus avec des plages d'adresses CIDR identiques ou se chevauchant

  • Communication bidirectionnelle Peut prendre en charge un canal de communication bidirectionnel afin que le consommateur de SaaS puisse exposer des ressources internes, telles qu'une base de données, au fournisseur de SaaS

  • IPv6 Peut prendre IPv6 en charge une ou deux piles

  • Trame jumbo Peut prendre en charge les trames jumbo d'une taille d'image maximale de 8 500 octets

  • Cloud hybride : peut prendre en charge une connexion avec un réseau sur site

  • Multicloud — Peut prendre en charge une connexion entre les réseaux de différents fournisseurs de services cloud

Service ou approche

Plages CIDR qui se chevauchent

Communication bidirectionnelle

IPv6

cadre Jumbo

Cloud hybride

Multicloud

Appairage de VPC

Non

Oui

Oui

Oui 5

Non

Non

AWS PrivateLink

Oui

Oui 1

Oui

Oui

Numéro 6

Numéro 6

Amazon VPC Lattice

Oui

Oui 1

Oui

Oui

Numéro 6

Numéro 6

AWS Transit Gateway

Non

Oui

Oui

Oui

Oui 3

Oui 3

AWS Site-to-Site VPN

Non

Oui

Oui

Non

Oui

Oui

AWS Direct Connect

Non

Oui

Oui

Oui 2

Oui

Oui

Accès public à Internet 4

Non applicable

Non

Oui

Oui

Oui

Oui

  1. Avec des ressources VPC dans Amazon VPC Lattice

  2. Uniquement pour les interfaces virtuelles privées et de transit

  3. Avec Site-to-Site VPN ou AWS Direct Connect pièces jointes

  4. En tant que terme général désignant les AWS ressources qui rendent une application accessible au public, telles qu'un Application Load Balancer

  5. Uniquement pour les connexions de peering au sein d'une Région AWS

  6. Possible grâce à une connexion de couche 3 préexistante entre les environnements

Caractéristiques et considérations relatives à la sécurité

Le tableau suivant décrit les fonctionnalités de Services AWS sécurité décrites dans ce guide.

  • Moyens d'authentification — Comment vous assurer que seuls vos clients peuvent se connecter à votre service. Un autre niveau d'authentification pour les demandes entrantes est généralement toujours requis, en particulier dans les environnements mutualisés.

  • Chiffrement en transit : indique si le chiffrement en transit est fourni par défaut. Le chiffrement natif décrit le chiffrement qui AWS couvre l'ensemble du trafic au sein VPCs VPCs, entre ou entre les centres de données. Le chiffrement supplémentaire décrit le chiffrement que vous contrôlez et qui peut être arrêté par le service concerné.

Service ou approche

Moyens d'authentification

Chiffrement en transit

Appairage de VPC

Vous lancez une demande de peering auprès du Compte AWS VPC de votre client ou vous acceptez une demande qu'il initie. Consultez Accepter ou rejeter une connexion d'appairage VPC.

Chiffrement natif uniquement

AWS PrivateLink

Vous choisissez ceux qui Comptes AWS sont autorisés à créer des points de terminaison pour votre service. Ces comptes sont appelés comptes principaux autorisés. Voir Accepter ou rejeter les demandes de connexion.

Chiffrement natif uniquement

Amazon VPC Lattice

Vous partagez un service ou un réseau de services VPC Lattice avec vos clients. Comptes AWS Voir Partager vos entités VPC Lattice.

Chiffrement natif et chiffrement TLS supplémentaire

AWS Transit Gateway

Votre client crée une demande de pièce jointe de peering à partir de lui Compte AWS, ou vous êtes à l'origine de la demande. Consultez les pièces jointes de peering de Transit Gateway dans Amazon VPC Transit Gateways.

Chiffrement natif et IPsec chiffrement supplémentaire avec une pièce jointe VPN

AWS Site-to-Site VPN

Vous utilisez des clés IPsec pré-partagées ou un certificat privé sur l'appareil du client. Voir les options d'authentification du AWS Site-to-Site VPN tunnel.

IPsec Chiffrement supplémentaire

AWS Direct Connect

Votre client crée une demande d'interface virtuelle à partir de son Compte AWS. Voir interfaces Direct Connect virtuelles et interfaces virtuelles hébergées.

Chiffrement supplémentaire de couche 2 possible sur certains sites. Voir Direct Connect Emplacements.

Accès public à Internet 1

Une authentification personnalisée est requise.

Chiffrement TLS supplémentaire possible

  1. En tant que terme général désignant les AWS ressources qui rendent une application accessible au public, telles qu'un Application Load Balancer