Saltar a contenido
Documentación de Megaport
Opciones de encriptación/VPN nativas de la nube - Documentación de Megaport

Habilitación de opciones de VPN/encriptación nativas de la nube a través de rutas de conectividad en la nube dedicada

Cuando se implementa una conexión dedicada en la nube pública a través de ExpressRoute a Microsoft Azure o Direct Connect a Amazon Web Services, la seguridad de la ruta de transporte forma parte de una evaluación de riesgos de seguridad para minimizar el riesgo de cualquier posible ataque de tipo “man in the middle”.

Azure y AWS han publicado detalles sobre cómo utilizar los servicios VPN a través de sus respectivas opciones de conectividad en la nube:

Pero ¿qué pasa con el uso de un Megaport como socio de conectividad para su ExpressRoute o Direct Connect? ¿Qué puede aportar Megaport más allá de la vía privada a la nube?

Este tema revisa varios escenarios que aprovechan la conectividad en la nube:

  • Caso 1: VPN IPsec - emparejamiento de Microsoft de Azure ER o VIF pública de AWS DX
  • Caso 2: VPN IPsec a través de Megaport Cloud Router (MCR) - emparejamiento de Microsoft de Azure ER o VIF pública de AWS DX
  • Caso 3: VPN IPsec - Emparejamiento privado de Azure ER o VIF privada de AWS DX con aplicación virtual de red (NVA) en Azure o AWS
  • Caso 4: VPN IPsec - nubes múltiples con aplicación virtual de red (NVA) en Azure y AWS

 

Escenario 1
VPN IPsec - Emparejamiento de Microsoft o VIF pública
Requisitos previos
  • Direcciones IP públicas propias que se pueden asignar para utilizar el emparejamiento de Microsoft y una VIF pública.
    Nota: Si no se poseen direcciones IP públicas, utilice MCR (caso 2).
  • Dispositivo de red local que admite IEEE 802.1ad (Q-in-Q), específicamente para Azure.
    Nota: Si no se admite 802.1ad, utilice MCR (caso 2).
  • Dispositivo de red propio con capacidad de IPsec.
Se requiere tecnología de Megaport. ¿Cuántos?
Megaport 1 (o 2 en adición de enlaces/LAG)
Megaport Cloud Router (MCR) No
Conexión cruzada virtual (VXC) 1 a cada proveedor (Azure o AWS)
Scenario 1
Consideraciones
  • Azure y AWS utilizan el protocolo estándar del sector IPsec AES128 o AES256 para el cifrado: el uso de otros protocolos para la seguridad o el rendimiento no es fácilmente personalizable.
  • La VPN con IPsec de Azure y AWS se puede configurar con la configuración de HA Activo-Activo.
  • El rendimiento máximo disponible para Azure VPN Gateway y la Gateway Privada Virtual de AWS es de 1,25 Gbps.
Caso 2
VPN IPsec a través de MCR - Emparejamiento de Microsoft o VIF pública.
Esta solución es adecuada para las organizaciones que no poseen direcciones IP públicas.
Requisitos previos
  • Dispositivo de red de cliente con capacidad de IPsec.
Se requiere tecnología de Megaport. ¿Cuántos?
Megaport 1 (2 en agregación de enlaces/LAG)
Megaport Cloud Router (MCR) 1
Conexión cruzada virtual (VXC) 1 a cada proveedor (Azure o AWS) y 1 VXC privada
Scenario 2
Consideraciones
  • Azure y AWS utilizan el protocolo estándar del sector IPsec AES128 o AES256 para el cifrado: el uso de otros protocolos para la seguridad o el rendimiento no es fácilmente personalizable.
  • La VPN con IPsec de Azure y AWS se puede configurar con la configuración de HA Activo-Activo.
  • El rendimiento máximo disponible para Azure VPN Gateway y la Gateway Privada Virtual de AWS es de 1,25 Gbps.
Escenario 3
VPN de IPsec (u otro) - Emparejamiento privado o VIF privada con aplicación virtual de red (NVA) en Azure o AWS.
Requisitos previos
  • Dispositivo de red de cliente (local) que admite IEEE 802.1ad (Q-in-Q), específicamente para Azure.
    Nota: Si no se admite 802.1ad, utilice MCR (caso 2), pero use el emparejamiento privado o una VIF privada.
  • El cliente posee aplicaciones de red con capacidad IPsec de forma local y en la nube.
Se requiere tecnología de Megaport. ¿Cuántos?
Megaport 1 (2 en agregación de enlaces/LAG)
Megaport Cloud Router (MCR) No
Conexión cruzada virtual (VXC) 1 a cada proveedor (Azure o AWS)
Scenario 3
Consideraciones
  • Las organizaciones tienen la flexibilidad del método de encriptación para mejorar la seguridad o el rendimiento.
  • Coste adicional para las máquinas virtuales que ejecutan la NVA.
  • Las organizaciones tendrán que pensar en cómo diseñar y ofrecer HA para este caso.
  • El rendimiento máximo puede superar los 1,25 Gbps hasta el tamaño máximo de Megaport (1 Gbps o 10 Gbps) con la capacidad de procesamiento adecuada disponible en la NVA.
Escenario 4
VPN de IPsec (u otro) - Nubes múltiples con aplicación virtual de red (NVA) en Azure y AWS.
Esta solución es adecuada para organizaciones con infraestructura local que no está geográficamente cerca de los proveedores.
Requisitos previos
  • El cliente posee aplicaciones de red con capacidad IPsec de forma local y en la nube.
Se requiere tecnología de Megaport. ¿Cuántos?
Megaport 1 (2 en agregación de enlaces/LAG)
Megaport Cloud Router (MCR) 1
Conexión cruzada virtual (VXC) 1 a cada proveedor (Azure y AWS) y 1 VXC privada
Scenario 4
Consideraciones
  • Proporciona un método de encriptación flexible para mejorar la seguridad o el rendimiento.
  • Coste adicional para las máquinas virtuales que ejecutan la NVA.
  • Hay que pensar en cómo diseñar y ofrecer HA para este caso.
  • El rendimiento máximo puede superar los 1,25 Gbps hasta el tamaño máximo de Megaport Cloud Router (5 Gbps) con la capacidad de procesamiento necesaria disponible en la NVA.
Última actualización: 2021-10-27