Ikhtisar layanan AWS jaringan untuk penawaran SaaS - AWS Bimbingan Preskriptif
Layanan AWSKemampuanFitur keamanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Ikhtisar layanan AWS jaringan untuk penawaran SaaS

Bagian ini membahas layanan AWS jaringan yang dirujuk dalam panduan ini. Ini juga membandingkan kemampuan mereka dan menjelaskan pertimbangan keamanan untuk setiap layanan.

AWS layanan jaringan

Berikut ini adalah hal-hal Layanan AWS yang dibahas secara konsisten dalam panduan ini.

AWS PrivateLinkadalah layanan cloud-native yang dapat menyediakan akses ke penawaran SaaS Anda jika pelanggan Anda sudah beroperasi di. AWS Cloud Pelanggan Anda terhubung ke penawaran SaaS melalui titik akhir VPC antarmuka. Ini adalah antarmuka jaringan endpoint yang disediakan dalam satu atau lebih subnet di pelanggan. Akun AWS Dalam skenario dalam panduan ini, lalu lintas berjalan melalui titik akhir VPC antarmuka dan tiba di Network Load Balancer di akun Anda. Network Load Balancer meneruskan lalu lintas ke aplikasi SaaS, yang telah Anda daftarkan sebagai layanan endpoint. Melalui titik akhir VPC sumber daya, juga AWS PrivateLink dapat membantu Anda mengakses sumber daya lain, seperti database.

Kisi VPC Amazon

Amazon VPC Lattice adalah layanan jaringan aplikasi yang membantu penyedia SaaS untuk secara aman dan efisien menawarkan layanan mereka kepada pelanggan yang beroperasi di beberapa dan. VPCs Akun AWS Pelanggan mengakses penawaran SaaS Anda melalui VPC Lattice, yang memberikan konektivitas jaringan yang konsisten, kontrol akses yang kuat, dan manajemen lalu lintas yang canggih. Dalam skenario ini, lalu lintas mengalir melalui VPC Lattice ke layanan aplikasi terdaftar Anda. Ini menyediakan komunikasi yang terukur dan aman, terlepas dari layanan komputasi mana yang Anda gunakan.

Peering VPC

VPC peering adalah koneksi jaringan antara dua virtual private cloud (VPCs) yang merutekan lalu lintas di antara mereka dengan menggunakan alamat atau IPv4 alamat pribadi. IPv6 Peering VPC biasanya digunakan antara entitas tepercaya, seperti yang ada dalam organisasi yang sama. Pelanggan Anda membuat permintaan peering ke salah satu dari Anda VPCs. Ketika Anda menerimanya, lalu lintas dapat mengalir di antara keduanya VPCs di kedua arah. Pendekatan koneksi ini menonjol karena keunikannya karena melibatkan komunikasi langsung antara dua VPCs tanpa layanan perantara atau infrastruktur untuk dikelola.

AWS Transit Gateway

AWS Transit Gatewayadalah hub transit jaringan terpusat yang dapat terhubung VPCs, koneksi jaringan pribadi virtual (VPN), AWS Direct Connect gateway, peralatan virtual pihak ketiga dalam VPC, dan gateway transit lainnya. Gateway transit dapat memiliki tabel rute yang berbeda untuk setiap lampiran. Ini memberikan fleksibilitas maksimum untuk routing, dan ini membantu Anda mengisolasi jaringan. Ini sering digunakan untuk menghubungkan banyak VPCs bersama-sama atau untuk inspeksi terpusat.

AWS Site-to-Site VPN

AWS Site-to-Site VPNdapat menggunakan teknologi keamanan protokol internet (IPsec) untuk membangun koneksi antara jaringan lokal, kantor jarak jauh, pabrik, penyedia cloud lainnya, dan jaringan AWS global. Koneksi dibuat dari gateway pribadi virtual atau gateway transit di VPC AWS Cloud ke gateway pelanggan berbasis fisik atau perangkat lunak, yang dapat berada di, lokal, atau di AWS Cloud cloud CSP lain. Koneksi dapat melalui Internet atau melalui AWS Direct Connect koneksi fisik. Dimungkinkan juga untuk memiliki koneksi Site-to-Site VPN yang dipercepat dengan menggunakan AWS Global Accelerator. Koneksi yang dipercepat merutekan lalu lintas ke lokasi AWS tepi, dan menawarkan pengurangan latensi dan peningkatan kinerja.

AWS Direct Connect

AWS Direct Connectmembangun koneksi pribadi berkecepatan tinggi antara pusat data lokal dan. AWS Cloud Dengan melewati internet publik, Direct Connect menyediakan koneksi latensi rendah yang lebih andal, aman, dan konsisten ke internet. AWS Cloud Pelanggan terhubung ke salah satu Direct Connect lokasi dan kemudian memilih koneksi host atau khusus AWS. Meskipun ini adalah pilihan arsitektur yang tidak umum untuk penawaran SaaS, ini bisa sangat cocok untuk penyedia SaaS yang memiliki sedikit konsumen perusahaan besar.

Membandingkan kemampuan layanan

Tabel berikut menguraikan kemampuan yang didukung dari Layanan AWS yang dibahas dalam panduan ini. Berikut ini adalah deskripsi kemampuan yang termasuk dalam tabel ini:

  • Rentang CIDR yang tumpang tindih - Dapat menghubungkan dua atau lebih jaringan dengan rentang CIDR yang sama atau tumpang tindih

  • Komunikasi dua arah - Dapat mendukung saluran komunikasi dua arah sehingga konsumen SaaS dapat mengekspos sumber daya internal, seperti database, ke penyedia SaaS

  • IPv6 Dapat mendukung IPv6, baik single atau dual-stack

  • Jumbo frame - Dapat mendukung jumbo frame dengan ukuran frame hingga 8.500 byte

  • Hybrid-cloud Dapat mendukung koneksi dengan jaringan lokal

  • Multi-cloud — Dapat mendukung koneksi antar jaringan pada penyedia layanan cloud yang berbeda

Layanan atau pendekatan

Rentang CIDR yang tumpang tindih

Komunikasi dua arah

IPv6

Bingkai jumbo

Awan hibrida

Multi-awan

Pengintipan VPC

Tidak

Ya

Ya

Ya 5

Tidak

Tidak

AWS PrivateLink

Ya

Ya 1

Ya

Ya

Tidak 6

Tidak 6

Kisi VPC Amazon

Ya

Ya 1

Ya

Ya

Tidak 6

Tidak 6

AWS Transit Gateway

Tidak

Ya

Ya

Ya

Ya 3

Ya 3

AWS Site-to-Site VPN

Tidak

Ya

Ya

Tidak

Ya

Ya

AWS Direct Connect

Tidak

Ya

Ya

Ya 2

Ya

Ya

Akses internet publik 4

Tidak berlaku

Tidak

Ya

Ya

Ya

Ya

  1. Dengan sumber daya VPC di Amazon VPC Lattice

  2. Hanya untuk antarmuka virtual pribadi dan transit

  3. Dengan Site-to-Site VPN atau AWS Direct Connect lampiran

  4. Sebagai istilah umum untuk AWS sumber daya yang membuat aplikasi dapat diakses publik, seperti Application Load Balancer

  5. Hanya untuk mengintip koneksi dalam satu Wilayah AWS

  6. Mungkin melalui koneksi Layer 3 yang sudah ada sebelumnya antara lingkungan

Fitur dan pertimbangan keamanan

Tabel berikut menguraikan fitur keamanan Layanan AWS yang dibahas dalam panduan ini.

  • Cara otentikasi — Bagaimana Anda dapat memastikan bahwa hanya pelanggan Anda yang dapat terhubung ke layanan Anda. Tingkat otentikasi lain untuk permintaan masuk biasanya masih diperlukan, terutama di lingkungan penyewa bersama.

  • Enkripsi dalam transit — Menjelaskan apakah enkripsi dalam transit disediakan secara default. Enkripsi asli menjelaskan enkripsi yang AWS menyediakan semua lalu lintas di dalam VPCs, di seluruh VPCs, atau di seluruh pusat data. Enkripsi tambahan menjelaskan enkripsi yang Anda kendalikan dan yang dapat dihentikan oleh layanan masing-masing.

Layanan atau pendekatan

Sarana otentikasi

Enkripsi dalam perjalanan

Pengintipan VPC

Anda memulai permintaan peering ke dan Akun AWS VPC pelanggan Anda atau menerima permintaan yang mereka mulai. Lihat Menerima atau menolak koneksi peering VPC.

Hanya enkripsi asli

AWS PrivateLink

Anda memilih mana yang Akun AWS diizinkan untuk membuat titik akhir ke layanan Anda. Akun-akun ini dikenal sebagai prinsipal yang diizinkan. Lihat Menerima atau menolak permintaan koneksi.

Hanya enkripsi asli

Kisi VPC Amazon

Anda berbagi layanan VPC Lattice atau jaringan layanan dengan pelanggan Anda. Akun AWS Lihat Berbagi entitas Kisi VPC Anda.

Enkripsi asli dan enkripsi TLS tambahan

AWS Transit Gateway

Pelanggan Anda membuat permintaan lampiran peering dari mereka Akun AWS, atau Anda memulai permintaan. Lihat Lampiran peering gateway Transit di Amazon VPC Transit Gateways.

Enkripsi asli dan IPsec enkripsi tambahan dengan lampiran VPN

AWS Site-to-Site VPN

Anda menggunakan kunci yang IPsec telah dibagikan sebelumnya atau sertifikat pribadi di perangkat pelanggan. Lihat opsi otentikasi AWS Site-to-Site VPN terowongan.

Enkripsi tambahan IPsec

AWS Direct Connect

Pelanggan Anda membuat permintaan antarmuka virtual dari mereka Akun AWS. Lihat antarmuka Direct Connect virtual dan antarmuka virtual yang dihosting.

Enkripsi Layer 2 tambahan dimungkinkan di situs yang dipilih. Lihat Direct Connect Lokasi.

Akses internet publik 1

Diperlukan otentikasi khusus.

Enkripsi TLS tambahan dimungkinkan

  1. Sebagai istilah umum untuk AWS sumber daya yang membuat aplikasi dapat diakses publik, seperti Application Load Balancer