action.skip
Megaport Documentation
Chiffrement VPN natif dans le cloud
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

Activer les Options de VPN/Chiffrement Cloud-Native sur les Chemins de Connectivité Cloud Dédiés

Lors de la mise en œuvre d’une connexion dédiée vers le cloud public via ExpressRoute vers Microsoft Azure ou Direct Connect vers Amazon Web Services, la sécurité du chemin de transport fait partie d’une évaluation des risques de sécurité afin de minimiser le risque de toute attaque de type man-in-the-middle.

Azure et AWS ont publié des détails sur la façon d’utiliser les services VPN via leurs options de connectivité cloud dédiée respectives:

Ce sujet décrit plusieurs scénarios utilisant la connectivité cloud dédiée, notamment:

  • Scénario 1: IPsec VPN – Azure ER Microsoft Peering ou AWS DX Public VIF
  • Scénario 2: IPsec VPN via Megaport Cloud Router (MCR) – Azure ER Microsoft Peering ou AWS DX Public VIF
  • Scénario 3: IPsec VPN – Azure ER Private Peering ou AWS DX Private VIF avec Network Virtual Appliance (NVA)Les Network Virtual Appliances (NVA) sont utilisées dans Azure ou AWS pour contrôler le flux de trafic entre des segments de réseau classifiés avec différents niveaux de sécurité. Par exemple, entre un réseau virtuel sécurisé et l’internet public.
     dans Azure ou AWS
  • Scénario 4: IPsec VPN – Multicloud avec Network Virtual Appliance (NVA) dans Azure et AWS

 

Scénario 1
IPsec VPN – Azure ER Microsoft Peering ou AWS DX Public VIF
Prérequis
  • Adresses IP publiques propres pouvant être assignées pour utiliser Microsoft Peering et Public VIF.
    Note: Si des adresses IP publiques ne sont pas possédées, utilisez MCR (Scénario 2).
  • Appliance réseau possédée capable de faire l'IPsec.
Megaport Technologie Requise Combien?
Port Oui 1 ou (2 dans une Agrégation de Liens/LAG)
Megaport Cloud Router (MCR) Non
Virtual Cross Connect (VXC) Oui 1 pour chaque CSP (Azure ou AWS)
Scénario 1
Considérations
  • Azure et AWS utilisent le protocole standard de l'industrie IPsec AES128 ou AES256 pour le chiffrement: l'utilisation d'autres protocoles pour la sécurité ou la performance n'est pas facilement personnalisable.
  • Azure et AWS IPsec VPN peuvent être configurés avec une configuration HA Active-Active.
  • Le débit maximum disponible pour AWS Virtual Private Gateway est de 1,25 Gbps. Le débit maximum des VPN Azure dépend du SKU du VPN Gateway.
Scénario 2
IPsec VPN via Megaport Cloud Router (MCR) – Azure ER Microsoft Peering ou AWS DX Public VIF
Cette solution convient aux organisations qui ne possèdent pas d'adresses IP publiques.
Prérequis
  • Appliance réseau possédée par le client capable de l'IPsec.
Megaport Technologie Requise Combien?
Port Oui 1 (2 dans une Agrégation de Liens/LAG)
Megaport Cloud Router (MCR) Oui 1
Virtual Cross Connect (VXC) Oui 1 pour chaque CSP (Azure ou AWS) et 1 Private VXC
Scénario 2
Considérations
  • Azure et AWS utilisent le protocole standard de l'industrie IPsec AES128 ou AES256 pour le chiffrement: l'utilisation d'autres protocoles pour la sécurité ou la performance n'est pas facilement personnalisable.
  • Azure et AWS IPsec VPN peuvent être configurés avec une configuration HA Active-Active.
  • Le débit maximum disponible pour AWS Virtual Private Gateway est de 1,25 Gbps. Le débit maximum des VPN Azure dépend du SKU du VPN Gateway.
Scénario 3
IPsec (ou autre) VPN - Peering Privé ou VIF Privé avec Network Virtual Appliance (NVA) dans Azure ou AWS.
Prérequis
  • Appliances réseau possédées par le client, capables de l'IPsec, sur site et dans le cloud.
Megaport Technologie Requise Combien?
Port Oui 1 (2 dans une Agrégation de Liens/LAG)
Megaport Cloud Router (MCR) Non
Virtual Cross Connect (VXC) Oui 1 pour chaque CSP (Azure ou AWS)
Scénario 3
Considérations
  • Les organisations ont la flexibilité du choix de la méthode de chiffrement pour une meilleure sécurité ou de meilleures performances.
  • Coût supplémentaire pour les VM exécutant le NVA.
  • Les organisations devront considérer la façon de concevoir et de fournir la HA pour ce scénario.
  • Le débit maximum peut dépasser 1,25 Gbps jusqu'à la taille maximale du Port (1 Gbps ou 10 Gbps) avec la puissance de calcul disponible adéquate sur le NVA.
Scénario 4
IPsec (ou autre) VPN - Multicloud avec Network Virtual Appliance (NVA) dans Azure et AWS.
Cette solution convient aux organisations avec une infrastructure sur site non géographiquement proche des CSP.
Prérequis
  • Le client possède des appliances réseau capables de l'IPsec sur site et dans le cloud.
Megaport Technologie Requise Combien?
Port Oui 1 (2 dans une Agrégation de Liens/LAG)
Megaport Cloud Router (MCR) Oui 1
Virtual Cross Connect (VXC) Oui 1 pour chaque CSP (Azure et AWS) et 1 Private VXC
Scénario 4
Considérations
  • Fournit une méthode de chiffrement flexible pour une meilleure sécurité ou de meilleures performances.
  • Coût supplémentaire pour les VM exécutant le NVA.
  • Il est nécessaire de considérer comment concevoir et fournir la HA pour ce scénario.
  • Le débit maximum peut dépasser 1,25 Gbps avec la puissance de calcul requise disponible sur le NVA.

Références utiles