Aktivieren von Cloud-nativen VPN-/Verschlüsselungsoptionen über dedizierte Cloudkonnektivitätspfade

Bei der Einrichtung einer dedizierten Verbindung in die öffentliche Cloud über ExpressRoute zu Microsoft Azure oder Direct Connect zu Amazon Web Services ist die Sicherheit des Transportpfades Teil einer Sicherheitsrisikobewertung, um das Risiko eines möglichen Man-in-the-Middle-Angriffs zu minimieren.

Azure und AWS haben Details zur Nutzung von VPN-Diensten über ihre jeweiligen dedizierten Cloudkonnektivitätsoptionen veröffentlicht:

Aber was ist mit der Verwendung eines Megaports als Verbindungspartner für Ihr ExpressRoute oder Direct Connect? Was kann Megaport über den privaten Pfad zur Cloud hinaus bieten?

In diesem Thema werden verschiedene Szenarien vorgestellt, die eine dedizierte Cloudkonnektivität nutzen, darunter:

  • Szenario 1: IPsec VPN – Azure ER Microsoft-Peering oder öffentliche AWS DX-VIF
  • Szenario 2: IPsec VPN über Megaport Cloud Router (MCR) – Azure ER Microsoft-Peering oder öffentliche AWS DX-VIF
  • Szenario 3: IPsec VPN – Privates Azure ER-Peering oder private AWS DX-VIF mit Network Virtual Appliance (NVA) in Azure oder AWS
  • Szenario 4: IPsec VPN – Multicloud mit Network Virtual Appliance (NVA) in Azure und AWS

 

Szenario 1
IPsec VPN - Microsoft-Peering oder öffentliche VIF
Voraussetzungen
  • Eigene öffentliche IP-Adressen, die für die Verwendung von Microsoft-Peering und einer öffentlichen VIF zugewiesen werden können.
    Hinweis: Wenn keine öffentlichen IP-Adressen vorhanden sind, verwenden Sie einen MCR (Szenario 2).
  • Lokale Network Appliance, die IEEE 802.1ad (Q-in-Q) unterstützt – speziell für Azure.
    Hinweis: Wenn 802.1ad nicht unterstützt wird, verwenden Sie einen MCR (Szenario 2).
  • Eigene Network Appliance, die IPsec-fähig ist.
Erforderliche Megaport-Technologie Wie viel?
Megaport Ja 1 oder (2 in einer Link Aggregation/LAG-Konfiguration)
Megaport Cloud Router (MCR) Nein
Virtuelle Querverbindung (VXC) Ja 1 zu jedem CSP (Azure oder AWS)
Scenario 1
Überlegungen
  • Azure und AWS verwenden das Industriestandardprotokoll IPsec AES128 oder AES256 für die Verschlüsselung: Die Verwendung anderer Protokolle für die Sicherheit oder Leistung ist nicht einfach anpassbar.
  • Azure und AWS IPsec VPN können mit einer Aktiv-Aktiv-Hochverfügbarkeitskonfiguration konfiguriert werden.
  • Der maximale Durchsatz, der sowohl für das Azure VPN Gateway als auch für das AWS Virtual Private Gateway verfügbar ist, beträgt 1,25 Gbit/s.
Szenario 2
IPsec VPN über MCR - Microsoft-Peering oder Public VIF.
Diese Lösung ist für Unternehmen geeignet, die keine öffentlichen IP-Adressen besitzen.
Voraussetzungen
  • Kundeneigene Network Appliance, die IPsec-fähig ist.
Erforderliche Megaport-Technologie Wie viel?
Megaport Ja 1 (2 in einer Link Aggregation/LAG-Konfiguration)
Megaport Cloud Router (MCR) Ja 1
Virtuelle Querverbindung (VXC) Ja 1 zu jedem CSP (Azure oder AWS) und 1 privater VXC
Scenario 2
Überlegungen
  • Azure und AWS verwenden das Industriestandardprotokoll IPsec AES128 oder AES256 für die Verschlüsselung: Die Verwendung anderer Protokolle für die Sicherheit oder Leistung ist nicht einfach anpassbar.
  • Azure und AWS IPsec VPN können mit einer Aktiv-Aktiv-Hochverfügbarkeitskonfiguration konfiguriert werden.
  • Der maximale Durchsatz, der sowohl für das Azure VPN Gateway als auch für das AWS Virtual Private Gateway verfügbar ist, beträgt 1,25 Gbit/s.
Szenario 3
IPsec (oder anderes) VPN - Privates Peering oder private VIF mit Network Virtual Appliance (NVA) in Azure oder AWS.
Voraussetzungen
  • Lokale Network-Appliance des Kunden, die IEEE 802.1ad (Q-in-Q) unterstützt – speziell für Azure.
    Hinweis: Wenn 802.1ad nicht unterstützt wird, verwenden Sie einen MCR (Szenario 2), verwenden Sie jedoch privates Peering oder eine private VIF.
  • Der Kunde besitzt IPsec-fähige Network Appliances vor Ort und in der Cloud.
Erforderliche Megaport-Technologie Wie viel?
Megaport Ja 1 (2 in einer Link Aggregation/LAG-Konfiguration)
Megaport Cloud Router (MCR) Nein
Virtuelle Querverbindung (VXC) Ja 1 zu jedem CSP (Azure oder AWS)
Scenario 3
Überlegungen
  • Organisationen haben für eine bessere Sicherheit oder bessere Leistung flexibel eine Verschlüsselungsmethode auswählen.
  • Zusätzliche Kosten für die VMs, auf denen die NVA läuft.
  • Organisationen müssen sich überlegen, wie sie hohe Verfügbarkeit für dieses Szenario entwickeln und bereitstellen.
  • Der maximale Durchsatz kann 1,25 Gbit/s bis zur maximalen Megaport-Größe (1 Gbit/s oder 10 Gbit/s) überschreiten, wobei die richtige Rechenleistung auf der NVA verfügbar sein muss.
Szenario 4
IPsec (oder anderes) VPN - Multicloud mit Network Virtual Appliance (NVA) in Azure und AWS.
Diese Lösung eignet sich für Unternehmen mit einer lokalen Infrastruktur, die sich nicht in geografischer Nähe zu den CSPs befindet.
Voraussetzungen
  • Der Kunde besitzt IPsec-fähige Network Appliances vor Ort und in der Cloud.
Erforderliche Megaport-Technologie Wie viel?
Megaport Ja 1 (2 in einer Link Aggregation/LAG-Konfiguration)
Megaport Cloud Router (MCR) Ja 1
Virtuelle Querverbindung (VXC) Ja 1 zu jedem CSP (Azure und AWS) und 1 privater VXC
Scenario 4
Überlegungen
  • Bietet eine flexible Verschlüsselungsmethode für bessere Sicherheit oder bessere Leistung.
  • Zusätzliche Kosten für die VMs, auf denen die NVA läuft.
  • Es muss überlegt werden, wie hohe Verfügbarkeit für dieses Szenario entworfen und bereitgestellt wird.
  • Der maximale Durchsatz kann 1,25 Gbit/s bis zur maximalen Megaport Cloud Router-Größe (5 Gbit/s) überschreiten, wobei die erforderliche Rechenleistung auf der NVA verfügbar sein muss.

Letztes Update: