Como funciona o AWS Client VPN - AWS Client VPN
Cenários e exemplos

Como funciona o AWS Client VPN

Com o AWS Client VPN, há dois tipos de usuários que interagem com o endpoint da Client VPN: administradores e clientes.

O Client VPN permite conectividade IPv4, IPv6 e de pilha dupla (IPv4 e IPv6). É possível criar endpoints que usam IPv4, IPv6 ou ambos, o que permite que você se conecte a recursos do IPv6 em suas VPCs ou se conecte por meio de clientes em redes IPv6. Essa flexibilidade ajuda as organizações que já implementaram ou estão fazendo a transição para a infraestrutura IPv6.

O administrador é responsável por criar e configurar o serviço. Isso envolve criar o endpoint da Client VPN, associar a rede de destino, configurar as regras de autorização e configurar rotas adicionais (se necessário). Depois que o endpoint da Client VPN é criado e configurado, o administrador faz download do arquivo de configuração do endpoint da Client VPN e o distribui aos clientes que precisam de acesso. O arquivo de configuração do endpoint da Client VPN inclui o nome DNS do endpoint da Client VPN e informações de autenticação necessárias para estabelecer uma sessão VPN. Para obter mais informações sobre a configuração do serviço, consulte Conceitos básicos do AWS Client VPN.

O cliente é o usuário final. É a pessoa que se conecta ao endpoint da Client VPN para estabelecer uma sessão de VPN. O cliente estabelece a sessão de VPN em seu computador local ou dispositivo móvel usando uma aplicação cliente de VPN baseado no OpenVPN. Depois de estabelecer a sessão de VPN, ele pode acessar com segurança os recursos na VPC em que a sub-rede associada está localizada. Ele também poderá acessar outros recursos na AWS, em uma rede on-premises ou em outros clientes se a rota necessária e as devidas regras de autorização tiverem sido configuradas. Para obter mais informações sobre como se conectar a um endpoint da Client VPN para estabelecer uma sessão de VPN, consulte Conceitos básicos no Guia do usuário do AWS Client VPN.

O gráfico a seguir ilustra a arquitetura básica da Client VPN.

Arquitetura da Client VPN

Cenários e exemplos da Client VPN

O AWS Client VPN é uma solução VPN de acesso remoto totalmente gerenciada que você usa para permitir que os clientes tenham acesso seguro aos recursos tanto na rede local AWS quanto na sua. Há várias opções de como você configura o acesso. Esta seção fornece exemplos de como criar e configurar o acesso à Client VPN para seus clientes.

Cenários

A configuração do AWS Client VPN neste cenário inclui uma única VPC de destino. Ela é recomendada quando você precisa permitir que os clientes tenham acesso aos recursos dentro de uma única VPC.

Acesso da Client VPN a uma VPC

Antes de começar, faça o seguinte:

  • Crie ou identifique uma VPC com pelo menos uma sub-rede. Identifique a sub-rede na VPC a ser associada ao endpoint da Client VPN e anote seus intervalos CIDR IPv4.

  • Identifique um intervalo CIDR adequado para os endereços IP do cliente que não se sobrepõem ao CIDR da VPC.

  • Revise as regras e as limitações dos endpoints da Client VPN em Regras e práticas recomendadas para utilizar o AWS Client VPN.

Para implementar essa configuração

  1. Crie um endpoint da Client VPN na mesma região que a VPC. Para fazer isso, execute as etapas descritas em Crie um endpoint do AWS Client VPN.

  2. Associe a sub-rede ao endpoint da Client VPN. Para fazer isso, execute as etapas descritas em Associar uma rede de destino a um endpoint do AWS Client VPN e selecione a sub-rede e a VPC que você identificou anteriormente.

  3. Adicione uma regra de autorização para fornecer acesso à VPC para os clientes. Para fazer isso, execute as etapas descritas em Adicionar uma regra de autorização e, em Destination network (Rede de destino), insira o intervalo CIDR IPv4 da VPC.

  4. Adicione uma regra aos grupos de segurança dos recursos para permitir o tráfego do grupo de segurança que foi aplicado à associação de sub-rede na etapa 2. Para obter mais informações, consulte Grupos de segurança.

A configuração do AWS Client VPN nesse cenário inclui uma VPC de destino (VPC A) que é emparelhada com uma VPC adicional (VPC B). Ela é recomendada quando você precisa dar acesso para os clientes aos recursos dentro de uma VPC de destino e a outras VPCs que estejam emparelhadas com ela (como a VPC B).

nota

O procedimento para permitir o acesso a uma VPC com emparelhamento (descrito após o diagrama de rede) será necessário somente se o endpoint da Client VPN tiver sido configurado para o modo de túnel dividido. No modo de túnel inteiro, o acesso à VPC emparelhada é permitido por padrão.

Acesso da Client VPN a uma VPC emparelhada

Antes de começar, faça o seguinte:

  • Crie ou identifique uma VPC com pelo menos uma sub-rede. Identifique a sub-rede na VPC a ser associada ao endpoint da Client VPN e anote seus intervalos CIDR IPv4.

  • Identifique um intervalo CIDR adequado para os endereços IP do cliente que não se sobrepõem ao CIDR da VPC.

  • Revise as regras e as limitações dos endpoints da Client VPN em Regras e práticas recomendadas para utilizar o AWS Client VPN.

Para implementar essa configuração

  1. Estabeleça a conexão de emparelhamento de VPCs entre as VPCs. Siga as etapas em Criar e aceitar uma conexão de emparelhamento de VPC no Guia de emparelhamento da Amazon VPC. Confirme se as instâncias na VPC A podem se comunicar com as instâncias na VPC B utilizando a conexão emparelhada.

  2. Crie um endpoint da Client VPN na mesma região que a VPC de destino. No diagrama, essa é a VPC A. Para fazer isso, execute as etapas descritas em Crie um endpoint do AWS Client VPN.

  3. Associe a sub-rede identificada ao endpoint da Client VPN que você criou. Para fazer isso, execute as etapas descritas em Associar uma rede de destino a um endpoint do AWS Client VPN e selecione a sub-rede e a VPC. Por padrão, associamos o grupo de segurança padrão da VPC ao endpoint da Client VPN. É possível associar um grupo de segurança diferente utilizando as etapas descritas em Aplicar um grupo de segurança a uma rede de destino no AWS Client VPN.

  4. Adicione uma regra de autorização para fornecer acesso à VPC de destino para os clientes. Para fazer isso, execute as etapas descritas em Adicionar uma regra de autorização. Em Destination network to enable (Rede de destino para permitir acesso), insira o intervalo CIDR IPv4 da VPC.

  5. Adicione uma rota para direcionar o tráfego à VPC emparelhada. No diagrama, essa é a VPC B. Para fazer isso, execute as etapas descritas em Criar uma rota de endpoint do AWS Client VPN. Em Destino da rota, insira o intervalo CIDR IPv4 da VPC emparelhada. Em ID da sub-rede da VPC de destino, selecione a sub-rede associada ao endpoint da Client VPN.

  6. Adicione uma regra de autorização para fornecer os acesso à VPC emparelhada para os clientes. Para fazer isso, execute as etapas descritas em Adicionar uma regra de autorização. Em Rede de destino, insira o intervalo CIDR IPv4 da VPC emparelhada.

  7. Adicione uma regra aos grupos de segurança de suas instâncias na VPC A e na VPC B para permitir o tráfego do grupo de segurança que foi aplicado ao endpoint da Client VPN na etapa 3. Para obter mais informações, consulte Grupos de segurança.

A configuração do AWS Client VPN neste cenário inclui acesso a uma rede on-premises apenas. Ela é recomendada quando você precisa permitir que os clientes tenham acesso aos recursos dentro de uma rede no local apenas.

Acesso da Client VPN a uma rede local

Antes de começar, faça o seguinte:

  • Crie ou identifique uma VPC com pelo menos uma sub-rede. Identifique a sub-rede na VPC a ser associada ao endpoint da Client VPN e anote seus intervalos CIDR IPv4.

  • Identifique um intervalo CIDR adequado para os endereços IP do cliente que não se sobrepõem ao CIDR da VPC.

  • Revise as regras e as limitações dos endpoints da Client VPN em Regras e práticas recomendadas para utilizar o AWS Client VPN.

Para implementar essa configuração

  1. Habilite a comunicação entre a VPC e sua própria rede on-premises por meio de uma conexão VPN de local a local da AWS. Para fazer isso, execute as etapas descritas em Conceitos básicos no Guia do usuário do AWS Site-to-Site VPN.

    nota

    Como alternativa, você pode implementar esse cenário usando uma conexão do Direct Connect entre a VPC e a rede local. Para obter mais informações, consulte o Guia do usuário do Direct Connect.

  2. Teste a conexão da VPN de local a local da AWS criada na etapa anterior. Para fazer isso, execute as etapas descritas em Testar a conexão da VPN de local a local no Guia do Usuário do AWS Site-to-Site VPN. Se a conexão VPN estiver funcionando conforme o esperado, continue para a próxima etapa.

  3. Crie um endpoint da Client VPN na mesma região que a VPC. Para fazer isso, execute as etapas descritas em Crie um endpoint do AWS Client VPN.

  4. Associe a sub-rede que você identificou anteriormente ao endpoint da Client VPN. Para fazer isso, execute as etapas descritas em Associar uma rede de destino a um endpoint do AWS Client VPN e selecione a VPC e a sub-rede.

  5. Adicione uma rota que permita acesso à conexão da VPN de local a local da AWS. Para fazer isso, execute as etapas descritas em Criar uma rota de endpoint do AWS Client VPN. Em Route destination (Destino da rota), insira o intervalo CIDR IPv4 da conexão VPN de local a local da AWS, e, em Target VPC Subnet ID (ID da sub-rede da VPC destino), selecione a sub-rede que você associou ao endpoint do cliente VPN.

  6. Adicione uma regra de autorização para fornecer acesso à conexão da VPN de local a local da AWS aos clientes. Para fazer isso, execute as etapas descritas em Adicionar uma regra de autorização a um endpoint do AWS Client VPN. Em Destination network (Rede de destino), insira o intervalo CIDR IPv4 de conexão da VPN de local a local da AWS.

A configuração do AWS Client VPN neste cenário inclui uma única VPC de destino e acesso à Internet. Ela é recomendada quando você precisa permitir que os clientes tenham acesso aos recursos dentro de uma única VPC de destino e também permitir o acesso à Internet.

Se você já concluiu o tutorial Conceitos básicos do AWS Client VPN, então já implementou esse cenário.

Acesso da cliente VPN à Internet

Antes de começar, faça o seguinte:

  • Crie ou identifique uma VPC com pelo menos uma sub-rede. Identifique a sub-rede na VPC a ser associada ao endpoint da Client VPN e anote seus intervalos CIDR IPv4.

  • Identifique um intervalo CIDR adequado para os endereços IP do cliente que não se sobrepõem ao CIDR da VPC.

  • Revise as regras e as limitações dos endpoints da Client VPN em Regras e práticas recomendadas para utilizar o AWS Client VPN.

Para implementar essa configuração

  1. Verifique se o grupo de segurança que você usará para o endpoint da VPN do cliente permite tráfego de saída para a Internet. Para fazer isso, adicione regras de saída que permitam tráfego HTTP e HTTPS para 0.0.0.0/0.

  2. Crie um gateway de internet e anexe-o à sua VPC. Para obter mais informações, consulte Criar e anexar um gateway da Internet no Guia do usuário do Amazon VPC.

  3. Torne a sub-rede pública, adicionando uma rota para o gateway de internet à sua tabela de rotas. No console da VPC, escolha Subnets (Sub-redes), selecione a sub-rede que você pretende associar ao endpoint da Client VPN, escolha Route Table (Tabela de rotas) e escolha o ID da tabela de rotas. Escolha Actions (Ações), Edit routes (Editar rotas) e depois Add route (Adicionar rota). Em Destination (Destino), insira 0.0.0.0/0 e, em Target (Destino), escolha o gateway de internet da etapa anterior.

  4. Crie um endpoint da Client VPN na mesma região que a VPC. Para fazer isso, execute as etapas descritas em Crie um endpoint do AWS Client VPN.

  5. Associe a sub-rede que você identificou anteriormente ao endpoint da Client VPN. Para fazer isso, execute as etapas descritas em Associar uma rede de destino a um endpoint do AWS Client VPN e selecione a VPC e a sub-rede.

  6. Adicione uma regra de autorização para fornecer acesso à VPC para os clientes. Para fazer isso, execute as etapas descritas em Adicionar uma regra de autorização e, em Destination network to enable (Rede de destino para habilitar), insira o intervalo CIDR IPv4 da VPC.

  7. Adicione uma rota que permita tráfego para a Internet. Para fazer isso, execute as etapas descritas em Criar uma rota de endpoint do AWS Client VPN. Em Route destination (Destino da rota), insira 0.0.0.0/0 e, em Target VPC Subnet ID (ID da sub-rede da VPC de destino), selecione a sub-rede que você associou ao endpoint da Client VPN.

  8. Adicione uma regra de autorização para fornecer acesso à Internet para os clientes. Para fazer isso, execute as etapas descritas em Adicionar uma regra de autorização. Em Destination network (Rede de destino), insira 0.0.0.0/0.

  9. Verifique se os grupos de segurança para os recursos em sua VPC têm uma regra que permita o acesso do grupo de segurança com o endpoint da VPN do cliente. Isso permite que os clientes acessem os recursos na VPC.

A configuração do AWS Client VPN nesse cenário permite que os clientes acessem uma única VPC e que eles roteiem o tráfego entre si. Recomendamos essa configuração se os clientes que se conectam ao mesmo endpoint da Client VPN também precisam se comunicar uns com os outros. Os clientes podem se comunicar entre si usando o endereço IP exclusivo atribuído a eles do intervalo CIDR do cliente quando se conectam ao endpoint da Client VPN.

Acesso cliente a cliente

Antes de começar, faça o seguinte:

  • Crie ou identifique uma VPC com pelo menos uma sub-rede. Identifique a sub-rede na VPC a ser associada ao endpoint da Client VPN e anote seus intervalos CIDR IPv4.

  • Identifique um intervalo CIDR adequado para os endereços IP do cliente que não se sobrepõem ao CIDR da VPC.

  • Revise as regras e as limitações dos endpoints da Client VPN em Regras e práticas recomendadas para utilizar o AWS Client VPN.

nota

Neste cenário, não há compatibilidade com regras de autorização baseadas em rede que utilizam grupos do Active Directory ou grupos IdP baseados em SAML.

Para implementar essa configuração

  1. Crie um endpoint da Client VPN na mesma região que a VPC. Para fazer isso, execute as etapas descritas em Crie um endpoint do AWS Client VPN.

  2. Associe a sub-rede que você identificou anteriormente ao endpoint da Client VPN. Para fazer isso, execute as etapas descritas em Associar uma rede de destino a um endpoint do AWS Client VPN e selecione a VPC e a sub-rede.

  3. Adicione uma rota à rede local na tabela de rotas. Para fazer isso, execute as etapas descritas em Criar uma rota de endpoint do AWS Client VPN. Em Route destination (Destino da rota), insira o intervalo CIDR do cliente e, em Target VPC Subnet ID (ID de sub-rede da VPC de destino), especifique local.

  4. Adicione uma regra de autorização para fornecer acesso à VPC para os clientes. Para fazer isso, execute as etapas descritas em Adicionar uma regra de autorização. Em Destination network to enable (Rede de destino para permitir acesso), insira o intervalo CIDR IPv4 da VPC.

  5. Adicione uma regra de autorização para conceder aos clientes acesso ao intervalo CIDR do cliente. Para fazer isso, execute as etapas descritas em Adicionar uma regra de autorização. Em Destination network to enable (Rede de destino para permitir acesso), insira o intervalo CIDR do cliente.

É possível configurar seu endpoint do AWS Client VPN para restringir o acesso a recursos específicos em sua VPC. Para autenticação baseada no usuário, você também pode restringir o acesso a partes da rede, com base no grupo de usuários que acessa o endpoint da Client VPN.

Restringir o acesso usando grupos de segurança

É possível conceder ou negar acesso a recursos específicos em sua VPC adicionando ou removendo regras de grupo de segurança que fazem referência ao grupo de segurança que foi aplicado à associação da rede de destino (o grupo de segurança da Client VPN). Essa configuração é comentada no cenário descrito em Acesso a uma VPC usando o Client VPN. Ela é aplicada além da regra de autorização configurada naquele cenário.

Para conceder acesso a um recurso específico, identifique o grupo de segurança associado à instância em que o recurso está sendo executado. Crie uma regra que permita o tráfego do grupo de segurança da Client VPN.

No diagrama a seguir, o grupo de segurança A é o grupo de segurança da Client VPN, o grupo de segurança B está associado a uma instância do EC2 e o grupo de segurança C está associado a uma instância do EC2. Se você adicionar uma regra ao grupo de segurança B que permita o acesso do grupo de segurança A, os clientes poderão acessar a instância associada ao grupo de segurança B. Se o grupo de segurança C não tiver uma regra que permita o acesso do grupo de segurança A, os clientes não poderão acessar a instância associada ao grupo de segurança C.

Restrição do acesso a recursos em uma VPC

Antes de começar, verifique se o grupo de segurança da Client VPN está associado a outros recursos em sua VPC. Se você adicionar ou remover regras que fazem referência ao grupo de segurança da Client VPN, poderá conceder ou negar acesso aos outros recursos associados também. Para evitar isso, use um grupo de segurança criado especificamente para uso com seu endpoint da Client VPN.

Como criar uma regra de grupo de segurança

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, selecione Grupos de segurança.

  3. Escolha o grupo de segurança associado à instância em que o recurso está sendo executado.

  4. Escolha Actions (Ações), Edit inbound rules (Editar regras de entrada).

  5. Selecione Add Rule (Adicionar regra) e faça o seguinte:

    • Em Type (Tipo), escolha All traffic (Todo o tráfego), ou um tipo específico de tráfego que você deseja permitir.

    • Para Source (Origem), escolha Custom (Personalizar) e insira ou escolha o ID do grupo de segurança da Client VPN.

  6. Selecione Save rules (Salvar regras).

Para remover o acesso a um recurso específico, verifique o grupo de segurança associado à instância em que o recurso está sendo executado. Se houver uma regra que permita o tráfego do grupo de segurança da Client VPN, exclua-a.

Como verificar as regras do grupo de segurança

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, selecione Grupos de segurança.

  3. Escolha Inbound Rules (Regras de entrada).

  4. Revise a lista de regras. Se houver uma regra em que Source (Origem) seja o grupo de segurança da Client VPN, escolha Edit rules (Editar Regras) e selecione Delete (Excluir) (o ícone x) para a regra. Escolha Salvar regras.

Restringir o acesso com base em grupos de usuários

Se o endpoint da Client VPN estiver configurado para autenticação baseada no usuário, você poderá conceder a grupos específicos de usuários acesso a partes específicas da rede. Para fazer isso, conclua as seguintes etapas:

  1. Configure usuários e grupos no Directory Service ou no seu IdP. Para obter mais informações, consulte os tópicos a seguir:

  2. Crie uma regra de autorização para seu endpoint da Client VPN que permita a um grupo especificado acesso a toda a rede ou parte dela. Para obter mais informações, consulte Regras de autorização do AWS Client VPN.

Se o endpoint da Client VPN estiver configurado para autenticação mútua, você não poderá configurar grupos de usuários. Ao criar uma regra de autorização, você deve conceder acesso a todos os usuários. Para permitir que grupos específicos de usuários acessem partes específicas da rede, é possível criar vários endpoints da Client VPN. Por exemplo, para cada grupo de usuários que acessa sua rede, faça o seguinte:

  1. Crie um conjunto de certificados e chaves de servidor e cliente para esse grupo de usuários. Para obter mais informações, consulte Autenticação mútua no AWS Client VPN.

  2. Crie um endpoint da Client VPN. Para obter mais informações, consulte Crie um endpoint do AWS Client VPN.

  3. Crie uma regra de autorização que conceda acesso a toda a rede ou parte dela. Por exemplo, para um endpoint da Client VPN usado por administradores, você pode criar uma regra de autorização que conceda acesso a toda a rede. Para obter mais informações, consulte Adicionar uma regra de autorização.