Activation des options de VPN/chiffrement natif cloud sur des chemins de connectivité cloud dédiés

Lors de l’implémentation d’une connexion dédiée dans le cloud public via ExpressRoute vers Microsoft Azure ou via Direct Connect vers Amazon Web Services, la sécurité du chemin de transport est soumise à une évaluation des risques de sécurité afin de minimiser le risque d’une éventuelle attaque de l’homme du milieu.

Azure et AWS ont publié des informations sur la façon d’utiliser les services VPN via leurs options de connectivité cloud respectives :

Mais que diriez-vous d’utiliser Megaport comme partenaire de connectivité pour votre connexion ExpressRoute ou Direct Connect ? Que peut offrir Megaport au-delà du chemin privé vers le cloud ?

Cette rubrique passe en revue plusieurs scénarios exploitant la connectivité cloud dédiée, et notamment :

  • Scénario 1 : VPN IPsec – Peering Microsoft ER Azure ou VIF publique DX AWS
  • Scénario 2 : VPN IPsec via Megaport Cloud Router (MCR) – Peering Microsoft ER Azure ou VIF publique DX AWS
  • Scénario 3 : VPN IPsec - Peering privé ER Azure ou VIF privée DX AWS avec appliance réseau virtuelle (NVA) dans Azure ou AWS
  • Scénario 4 : VPN IPsec - Multicloud avec appliance réseau virtuelle (NVA) dans Azure ou AWS

 

Scénario 1
VPN IPsec - Peering Microsoft ou VIF publique
Conditions préalables
  • Adresses IP publiques propriétaires qui peuvent être attribuées pour utiliser le peering Microsoft et la VIF publique.
    Remarque : si les adresses IP publiques ne vous appartiennent pas, utilisez le MCR (scénario 2).
  • Appareil réseau sur site qui prend en charge l’IEEE 802.1ad (Q-in-Q) - spécifiquement pour Azure.
    Remarque : Si 802.1ad n’est pas pris en charge, utilisez le MCR (scénario 2).
  • Appareil réseau propriétaire compatible avec l’IPsec.
Technologie Megaport requise Combien ?
Megaport Oui 1 ou (2 dans une agrégation de liens/un LAG)
Megaport Cloud Router (MCR) Non
Connexion transversale virtuelle (VXC) Oui 1 vers chaque CSP (Azure ou AWS)
Scenario 1
Considérations
  • Azure et AWS utilisent le protocole standard de l’industrie IPsec AES128 ou AES256 pour le chiffrement : l’utilisation d’autres protocoles pour la sécurité ou les performances n’est pas facilement personnalisable.
  • Le VPN IPsec Azure et AWS peut être configuré avec la configuration haute disponibilité Active-Active.
  • Le débit maximal disponible à la fois pour la passerelle VPN Azure et la passerelle privée virtuelle AWS est de 1,25 Gbit/s.
Scénario 2
VPN IPsec via le MCR - Peering Microsoft ou VIF publique.
Cette solution convient aux organisations qui ne possèdent pas d’adresses IP publiques.
Conditions préalables
  • Appareil réseau client propriétaire compatible avec l’IPsec.
Technologie Megaport requise Combien ?
Megaport Oui 1 (2 dans une agrégation de liens/un LAG)
Megaport Cloud Router (MCR) Oui 1
Connexion transversale virtuelle (VXC) Oui 1 vers chaque CSP (Azure ou AWS) et 1 VXC privée
Scenario 2
Considérations
  • Azure et AWS utilisent le protocole standard de l’industrie IPsec AES128 ou AES256 pour le chiffrement : l’utilisation d’autres protocoles pour la sécurité ou les performances n’est pas facilement personnalisable.
  • Le VPN IPsec Azure et AWS peut être configuré avec la configuration haute disponibilité Active-Active.
  • Le débit maximal disponible à la fois pour la passerelle VPN Azure et la passerelle privée virtuelle AWS est de 1,25 Gbit/s.
Scénario 3
VPN IPsec (ou autre) - Peering privé ou VIF privée avec appliance réseau virtuelle (NVA) dans Azure ou AWS.
Conditions préalables
  • Appareil réseau client (sur site) qui prend en charge l’IEEE 802.1ad (Q-in-Q) - spécifiquement pour Azure.
    Remarque : Si 802.1ad n’est pas pris en charge, utilisez le MCR (scénario 2) mais avec un peering privé ou une VIF privée.
  • Le client possède des appareils réseau compatibles avec l’IPsec sur site ou dans le cloud.
Technologie Megaport requise Combien ?
Megaport Oui 1 (2 dans une agrégation de liens/un LAG)
Megaport Cloud Router (MCR) Non
Connexion transversale virtuelle (VXC) Oui 1 vers chaque CSP (Azure ou AWS)
Scenario 3
Considérations
  • Les organisations disposent de la flexibilité de la méthode de chiffrement pour une sécurité renforcée ou de meilleures performances.
  • Coût supplémentaire pour les VM qui font fonctionner la NVA.
  • Les organisations devront réfléchir à la manière de concevoir et de fournir la haute disponibilité pour ce scénario.
  • Le débit maximal peut dépasser 1,25 Gbit/s jusqu’à la taille maximale du Megaport (1 Gbit/s ou 10 Gbits/s) avec la bonne puissance de calcul disponible sur la NVA.
Scénario 4
VPN IPsec (ou autre) - Multicloud avec appliance réseau virtuelle (NVA) dans Azure ou AWS.
Cette solution convient aux organisations dont l’infrastructure sur site n’est pas géographiquement proche des CSP.
Conditions préalables
  • Le client possède des appareils réseau compatibles avec l’IPsec sur site ou dans le cloud.
Technologie Megaport requise Combien ?
Megaport Oui 1 (2 dans une agrégation de liens/un LAG)
Megaport Cloud Router (MCR) Oui 1
Connexion transversale virtuelle (VXC) Oui 1 vers chaque CSP (Azure et AWS) et 1 VXC privée
Scenario 4
Considérations
  • Fournit une méthode de chiffrement flexible pour une sécurité renforcée ou de meilleures performances.
  • Coût supplémentaire pour les VM qui font fonctionner la NVA.
  • Il convient de réfléchir à la manière de concevoir et de fournir la haute disponibilité pour ce scénario.
  • Le débit maximal peut dépasser 1,25 Gbit/s jusqu’à la taille maximale du Megaport Cloud Router (5 Gbits/s) avec la puissance de calcul nécessaire disponible sur la NVA.

Dernière mise à jour: