AWS Site-to-Site VPN com IP privado com Direct Connect - AWS Site-to-Site VPN
Benefícios da VPN de IP privadoComo funciona a VPN de IP privado

AWS Site-to-Site VPN com IP privado com Direct Connect

Com a VPN de IP privado, é possível implantar a VPN de IPsec sobre o Direct Connect, criptografando o tráfego entre sua rede on-premises e a AWS, sem o uso de endereços IP públicos ou equipamentos de VPN de terceiro.

Um dos principais casos de uso da VPN de IP privado sobre o Direct Connect está ajudando os clientes nos setores financeiro, de saúde e federal a atender a metas regulamentares e de conformidade. A VPN de IP privado sobre o Direct Connect garante que o tráfego entre a AWS e as redes on-premises seja seguro e privado, permitindo que os clientes cumpram ordens regulamentares e de segurança.

Benefícios da VPN de IP privado

  • Gerenciamento e operações de rede simplificados: sem a VPN de IP privado, os clientes precisam implantar VPN e roteadores de terceiro para implementar VPNs privadas em redes do Direct Connect. Com o recurso da VPN de IP privado, os clientes não precisam implantar nem gerenciar sua própria infraestrutura de VPN. Isso resulta em operações de rede simplificadas e custos reduzidos.

  • Procedimento de segurança aprimorado: anteriormente, os clientes precisavam usar uma interface virtual (VIF) pública do Direct Connect para criptografar o tráfego sobre o Direct Connect, o que requer endereços IP públicos para endpoints da VPN. O uso de IPs públicos aumenta a probabilidade de ataques externos (DOS), o que, por sua vez, obriga os clientes a implantar equipamentos de segurança adicionais para proteção de rede. Além disso, uma VIF pública abre acesso entre todos os serviços públicos da AWS e as redes on-premises de clientes, aumentando a gravidade do risco. O recurso da VPN de IP privado permite a criptografia sobre VIFs de trânsito (em vez de VIFs públicas) do Direct Connect, bem como a configuração de IPs privados. Isso fornece conectividade privada de ponta a ponta, além da criptografia, melhorando o procedimento geral de segurança.

  • Escala de rota mais alta: as conexões VPN de IP privado oferecem limites de rota mais altos (cinco mil rotas de saída e mil rotas de entrada) em comparação somente com o Direct Connect, que no momento tem um limite de duzentas rotas de saída e de cem rotas de entrada.

Como funciona a VPN de IP privado

A Site-to-Site VPN de IP privado funciona por meio de uma interface virtual de trânsito (VIF) do Direct Connect. Ela usa um gateway do Direct Connect e um gateway de trânsito para interconectar suas redes on-premises com as VPCs da AWS. Uma conexão VPN de IP privado tem pontos de terminação no gateway de trânsito do lado da AWS e no dispositivo de gateway do cliente do lado do ambiente on-premises. Você deve atribuir endereços IP privados ao gateway de trânsito e às extremidades do dispositivo gateway do cliente dos túneis IPsec. É possível usar endereços IP privados dos intervalos de endereços IPv4 privados RFC1918 ou RFC6598.

Anexe uma conexão VPN de IP privado a um gateway de trânsito. Depois, roteie o tráfego entre o anexo da VPN e qualquer VPC (ou outras redes) que também estejam anexadas ao gateway de trânsito. Isso é feito associando uma tabela de rotas ao anexo da VPN. Na direção inversa, você pode rotear o tráfego das VPCs para o anexo da VPN de IP privado usando tabelas de rotas associadas às VPCs.

A tabela de rotas associada ao anexo da VPN pode ser a mesma ou diferente daquela associada ao anexo do Direct Connect subjacente. Isso oferece a possibilidade de rotear tráfego criptografado e não criptografado simultaneamente entre as VPCs e as redes on-premises.

Para obter mais detalhes sobre o caminho do tráfego que sai da VPN, consulte Políticas de roteamento da interface virtual privada e da interface virtual de trânsito no Guia do usuário do Direct Connect.

Tarefas