Visão geral dos serviços AWS de rede para ofertas de SaaS - AWS Orientação prescritiva
Serviços da AWSCapacidadesRecursos de segurança

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Visão geral dos serviços AWS de rede para ofertas de SaaS

Esta seção discute os serviços AWS de rede mencionados neste guia. Ele também compara suas capacidades e descreve as considerações de segurança de cada serviço.

AWS serviços de rede

A seguir estão as Serviços da AWS que são discutidas de forma consistente neste guia.

AWS PrivateLinké um serviço nativo da nuvem que pode fornecer acesso à sua oferta de SaaS se seus clientes já estiverem operando no. Nuvem AWS Seu cliente se conecta à oferta de SaaS por meio de uma interface VPC endpoint. Essa é uma interface de rede de endpoint que é provisionada em uma ou mais sub-redes na do cliente. Conta da AWS Nos cenários deste guia, o tráfego viaja pela interface VPC endpoint e chega a um Network Load Balancer em sua conta. O Network Load Balancer encaminha o tráfego para o aplicativo SaaS, que você registrou como um serviço de endpoint. Por meio de endpoints de VPC de recursos, também AWS PrivateLink pode ajudá-lo a acessar outros recursos, como bancos de dados.

Amazon VPC Lattice

O Amazon VPC Lattice é um serviço de rede de aplicativos que ajuda os provedores de SaaS a oferecer seus serviços de forma segura e eficiente a clientes que operam em vários países. VPCs Contas da AWS Os clientes acessam sua oferta de SaaS por meio do VPC Lattice, que oferece conectividade de rede consistente, controles de acesso robustos e gerenciamento avançado de tráfego. Nesses cenários, o tráfego flui pelo VPC Lattice para seus serviços de aplicativos registrados. Ele fornece comunicação escalável e segura, independentemente de qual serviço de computação você usa.

emparelhamento da VPC

O emparelhamento de VPC é uma conexão de rede entre duas nuvens privadas virtuais (VPCs) que roteia o tráfego entre elas usando endereços ou IPv4 endereços privados. IPv6 O emparelhamento de VPC geralmente é usado entre entidades confiáveis, como aquelas dentro da mesma organização. Seu cliente cria uma solicitação de peering para um de seus VPCs. Quando você aceita, o tráfego pode fluir entre os dois VPCs em qualquer direção. Essa abordagem de conexão se destaca por sua singularidade porque envolve comunicação direta entre duas pessoas VPCs sem nenhum serviço intermediário ou infraestrutura para gerenciar.

AWS Transit Gateway

AWS Transit Gatewayé um hub de trânsito de rede centralizado que pode conectar VPCs conexões de rede privada virtual (VPN), AWS Direct Connect gateways, dispositivos virtuais de terceiros em uma VPC e outros gateways de trânsito. Um gateway de trânsito pode ter uma tabela de rotas diferente para cada anexo. Isso fornece flexibilidade máxima para roteamento e ajuda a isolar as redes. Geralmente é usado para VPCs conectar muitos ou para inspeção centralizada.

AWS Site-to-Site VPN

AWS Site-to-Site VPNpode usar a tecnologia Internet Protocol Security (IPsec) para estabelecer conexões entre redes locais, escritórios remotos, fábricas, outros provedores de nuvem e a rede AWS global. A conexão é estabelecida a partir de um gateway privado virtual ou gateway de trânsito em uma VPC com um gateway de cliente físico ou baseado em software, que pode estar no local ou na Nuvem AWS nuvem de outro CSP. Nuvem AWS A conexão pode ser pela Internet ou por meio de uma AWS Direct Connect conexão física. Também é possível ter uma conexão Site-to-Site VPN acelerada usando AWS Global Accelerator. Uma conexão acelerada direciona o tráfego para uma localização AWS periférica e oferece latência reduzida e desempenho aprimorado.

AWS Direct Connect

AWS Direct Connectestabelece uma conexão privada de alta velocidade entre um data center local e o. Nuvem AWS Ao ignorar a Internet pública, Direct Connect fornece uma conexão de baixa latência mais confiável, segura e consistente com o. Nuvem AWS Os clientes se conectam a um dos Direct Connect locais e, em seguida, escolhem uma conexão hospedada ou dedicada AWS. Embora essa seja uma opção de arquitetura incomum para ofertas de SaaS, ela pode ser adequada para provedores de SaaS que têm poucos consumidores corporativos, mas grandes.

Comparando os recursos do serviço

A tabela a seguir descreve os recursos suportados do Serviços da AWS que são discutidos neste guia. A seguir estão as descrições dos recursos incluídos nesta tabela:

  • Intervalos CIDR sobrepostos — Pode conectar duas ou mais redes com intervalos CIDR iguais ou sobrepostos

  • Comunicação bidirecional Pode suportar um canal de comunicação bidirecional para que o consumidor de SaaS possa expor recursos internos, como um banco de dados, ao provedor de SaaS

  • IPv6 Pode suportar IPv6 pilha única ou dupla

  • Quadro Jumbo Pode suportar quadros jumbo com um tamanho de quadro de até 8.500 bytes

  • Nuvem híbrida Pode suportar uma conexão com uma rede local

  • Multinuvem — Pode suportar uma conexão entre redes em diferentes provedores de serviços em nuvem

Serviço ou abordagem

Intervalos CIDR sobrepostos

Comunicação bidirecional

IPv6

Quadro Jumbo

Nuvem híbrida

Multinuvem

Emparelhamento de VPC

Não

Yes (Sim)

Yes (Sim)

Sim 5

Não

Não

AWS PrivateLink

Sim

Sim1

Yes (Sim)

Yes (Sim)

Não 6

Não 6

Amazon VPC Lattice

Sim

Sim1

Yes (Sim)

Yes (Sim)

Não 6

Não 6

AWS Transit Gateway

Não

Yes (Sim)

Yes (Sim)

Yes (Sim)

Sim 3

Sim 3

AWS Site-to-Site VPN

Não

Yes (Sim)

Yes (Sim)

Não

Yes (Sim)

Yes (Sim)

AWS Direct Connect

Não

Yes (Sim)

Yes (Sim)

Sim2

Yes (Sim)

Yes (Sim)

Acesso público à internet 4

Não aplicável

Não

Yes (Sim)

Yes (Sim)

Yes (Sim)

Yes (Sim)

  1. Com recursos de VPC no Amazon VPC Lattice

  2. Somente para interfaces virtuais privadas e de trânsito

  3. Com Site-to-Site VPN ou AWS Direct Connect anexos

  4. Como um termo geral para AWS recursos que tornam um aplicativo acessível ao público, como um Application Load Balancer

  5. Somente para conexões de emparelhamento dentro de uma Região da AWS

  6. Possível por meio de uma conexão preexistente de camada 3 entre os ambientes

Características e considerações de segurança

A tabela a seguir descreve os recursos de segurança do Serviços da AWS que são discutidos neste guia.

  • Meios de autenticação — Como você pode garantir que somente seus clientes possam se conectar ao seu serviço. Normalmente, ainda é necessário outro nível de autenticação para solicitações recebidas, especialmente em ambientes compartilhados de locatários.

  • Criptografia em trânsito — Descreve se a criptografia em trânsito é fornecida por padrão. A criptografia nativa descreve a criptografia que AWS fornece todo o tráfego dentro VPCs VPCs, entre ou entre data centers. A criptografia suplementar descreve a criptografia que você controla e que pode ser interrompida pelo respectivo serviço.

Serviço ou abordagem

Meios de autenticação

Criptografia em trânsito

Emparelhamento de VPC

Você inicia uma solicitação de emparelhamento para a Conta da AWS VPC e a VPC do seu cliente ou aceita uma solicitação iniciada por ele. Consulte Aceitar ou rejeitar uma conexão de emparelhamento de VPC.

Somente criptografia nativa

AWS PrivateLink

Você escolhe quais Contas da AWS têm permissão para criar endpoints para seu serviço. Essas contas são conhecidas como diretores permitidos. Consulte Aceitar ou rejeitar solicitações de conexão.

Somente criptografia nativa

Amazon VPC Lattice

Você compartilha um serviço ou uma rede de serviços do VPC Lattice com os de seus clientes. Contas da AWS Consulte Compartilhe suas entidades do VPC Lattice.

Criptografia nativa e criptografia TLS suplementar

AWS Transit Gateway

Seu cliente cria uma solicitação de anexo emparelhado a partir deles Conta da AWS, ou você inicia a solicitação. Consulte Transit Gateway emparelhando anexos nos Amazon VPC Transit Gateways.

Criptografia nativa e IPsec criptografia suplementar com um anexo VPN

AWS Site-to-Site VPN

Você usa chaves IPsec pré-compartilhadas ou um certificado privado no dispositivo do cliente. Veja as opções de autenticação de AWS Site-to-Site VPN túnel.

Criptografia suplementar IPsec

AWS Direct Connect

Seu cliente cria uma solicitação de interface virtual a partir deles Conta da AWS. Veja interfaces Direct Connect virtuais e interfaces virtuais hospedadas.

Criptografia suplementar de camada 2 possível em locais selecionados. Veja os Direct Connect locais.

Acesso público à internet 1

É necessária uma autenticação personalizada.

Criptografia TLS suplementar possível

  1. Como um termo geral para AWS recursos que tornam um aplicativo acessível ao público, como um Application Load Balancer