action.skip
Megaport Documentation
Cloud-native VPN-Verschlüsselung
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

Aktivieren cloud-nativer VPN-/Verschlüsselungsoptionen über dedizierte Cloud-Konnektivitätspfade

Bei der Implementierung einer dedizierten Verbindung in die Public Cloud über ExpressRoute zu Microsoft Azure oder Direct Connect zu Amazon Web Services ist die Sicherheit des Transportpfads Teil einer Sicherheitsrisikobewertung, um das Risiko potenzieller Man-in-the-Middle-Angriffe zu minimieren.

Azure und AWS haben Details veröffentlicht, wie VPN-Services über ihre jeweiligen dedizierten Cloud-Konnektivitätsoptionen genutzt werden können:

Dieses Thema beschreibt mehrere Szenarien mit dedizierter Cloud-Konnektivität, darunter:

  • Szenario 1: IPsec-VPN – Azure ER Microsoft Peering oder AWS DX Public VIF
  • Szenario 2: IPsec-VPN über Megaport Cloud Router (MCR) – Azure ER Microsoft Peering oder AWS DX Public VIF
  • Szenario 3: IPsec-VPN – Azure ER Private Peering oder AWS DX Private VIF mit Network Virtual Appliance (NVA)Network Virtual Appliances (NVA) werden in Azure oder AWS eingesetzt, um den Datenverkehr zwischen Netzwerksegmenten zu steuern, die verschiedenen Sicherheitsstufen zugeordnet sind. Zum Beispiel zwischen einem sicheren virtuellen Netzwerk und dem öffentlichen Internet.
     in Azure oder AWS
  • Szenario 4: IPsec-VPN – Multicloud mit Network Virtual Appliance (NVA) in Azure und AWS

 

Szenario 1
IPsec-VPN – Azure ER Microsoft Peering oder AWS DX Public VIF
Voraussetzungen
  • Eigene öffentliche IP-Adressen, die für die Nutzung von Microsoft Peering und Public VIF zugewiesen werden können.
    Hinweis: Wenn Sie keine öffentlichen IP-Adressen besitzen, verwenden Sie MCR (Szenario 2).
  • Eigene, IPsec-fähige Netzwerk-Appliance.
Erforderliche Megaport-Technologie Wie viele?
Port Ja 1 oder (2 in einer Link Aggregation/LAG)
Megaport Cloud Router (MCR) Nein
Virtual Cross Connect (VXC) Ja 1 zu jedem CSP (Azure oder AWS)
Szenario 1
Überlegungen
  • Azure und AWS verwenden den Industriestandard IPsec mit AES128 oder AES256 für die Verschlüsselung: die Verwendung anderer Protokolle für Sicherheit oder Leistung ist nicht leicht anpassbar.
  • Azure- und AWS-IPsec-VPNs können mit einer Active-Active HA-Konfiguration konfiguriert werden.
  • Der maximale Durchsatz des AWS Virtual Private Gateway beträgt 1.25 Gbps. Der maximale Durchsatz von Azure-VPNs hängt von der VPN Gateway SKU ab.
Szenario 2
IPsec-VPN über Megaport Cloud Router (MCR) – Azure ER Microsoft Peering oder AWS DX Public VIF
Diese Lösung eignet sich für Unternehmen, die keine öffentlichen IP-Adressen besitzen.
Voraussetzungen
  • Kundeneigene, IPsec-fähige Netzwerk-Appliance.
Erforderliche Megaport-Technologie Wie viele?
Port Ja 1 (2 in einer Link Aggregation/LAG)
Megaport Cloud Router (MCR) Ja 1
Virtual Cross Connect (VXC) Ja 1 zu jedem CSP (Azure oder AWS) und 1 Private VXC
Szenario 2
Überlegungen
  • Azure und AWS verwenden den Industriestandard IPsec mit AES128 oder AES256 für die Verschlüsselung: die Verwendung anderer Protokolle für Sicherheit oder Leistung ist nicht leicht anpassbar.
  • Azure- und AWS-IPsec-VPNs können mit einer Active-Active HA-Konfiguration konfiguriert werden.
  • Der maximale Durchsatz des AWS Virtual Private Gateway beträgt 1.25 Gbps. Der maximale Durchsatz von Azure-VPNs hängt von der VPN Gateway SKU ab.
Szenario 3
IPsec (oder anderes) VPN - Private Peering oder Private VIF mit Network Virtual Appliance (NVA) in Azure oder AWS.
Voraussetzungen
  • Kundeneigene IPsec-fähige Netzwerk-Appliances On-Premises und in der Cloud.
Erforderliche Megaport-Technologie Wie viele?
Port Ja 1 (2 in einer Link Aggregation/LAG)
Megaport Cloud Router (MCR) Nein
Virtual Cross Connect (VXC) Ja 1 zu jedem CSP (Azure oder AWS)
Szenario 3
Überlegungen
  • Organisationen haben Flexibilität bei der Wahl der Verschlüsselungsmethode für höhere Sicherheit oder bessere Performance.
  • Zusätzliche Kosten für die VMs, auf denen die NVA betrieben wird.
  • Organisationen müssen berücksichtigen, wie sie für dieses Szenario HA entwerfen und bereitstellen.
  • Der maximale Durchsatz kann 1.25 Gbps überschreiten, bis zur maximalen Port-Größe (1 Gbps oder 10 Gbps), sofern auf der NVA ausreichend Rechenleistung zur Verfügung steht.
Szenario 4
IPsec (oder anderes) VPN - Multicloud mit Network Virtual Appliance (NVA) in Azure und AWS.
Diese Lösung eignet sich für Organisationen mit On-Premises-Infrastruktur, die geografisch nicht in der Nähe der CSPs liegt.
Voraussetzungen
  • Der Kunde besitzt IPsec-fähige Netzwerk-Appliances On-Premises und in der Cloud.
Erforderliche Megaport-Technologie Wie viele?
Port Ja 1 (2 in einer Link Aggregation/LAG)
Megaport Cloud Router (MCR) Ja 1
Virtual Cross Connect (VXC) Ja 1 zu jedem CSP (Azure und AWS) und 1 Private VXC
Szenario 4
Überlegungen
  • Bietet eine flexible Verschlüsselungsmethode für höhere Sicherheit oder bessere Performance.
  • Zusätzliche Kosten für die VMs, auf denen die NVA betrieben wird.
  • Es muss berücksichtigt werden, wie HA für dieses Szenario entworfen und bereitgestellt wird.
  • Der maximale Durchsatz kann 1.25 Gbps überschreiten, wenn auf der NVA die erforderliche Rechenleistung verfügbar ist.

Hilfreiche Referenzen