Pular para conteúdo
Documentação da Megaport
Criptografia de VPN nativa em nuvem
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

Habilitando opções de VPN/Criptografia Cloud-Native em caminhos de conectividade cloud dedicados

Ao implementar uma conexão dedicada para a cloud pública por meio do ExpressRoute para a Microsoft Azure ou do Direct Connect para a Amazon Web Services, a segurança do caminho de transporte faz parte de uma avaliação de risco de segurança para minimizar o risco de qualquer potencial ataque man-in-the-middle.

A Azure e a AWS publicaram detalhes sobre como usar serviços de VPN por meio de suas respectivas opções de conectividade cloud dedicada:

Este tópico descreve vários cenários usando conectividade cloud dedicada, incluindo:

  • Cenário 1: IPsec VPN – Azure ER Microsoft Peering ou AWS DX Public VIF
  • Cenário 2: IPsec VPN via Megaport Cloud Router (MCR) – Azure ER Microsoft Peering ou AWS DX Public VIF
  • Cenário 3: IPsec VPN – Azure ER Private Peering ou AWS DX Private VIF com Network Virtual Appliance (NVA)Appliances de Rede Virtuais (NVA) são utilizados no Azure ou na AWS para controlar o fluxo de tráfego entre segmentos de rede classificados com diferentes níveis de segurança. Por exemplo, entre uma rede virtual segura e a internet pública.
     no Azure ou na AWS
  • Cenário 4: IPsec VPN – Multicloud com Network Virtual Appliance (NVA) no Azure e na AWS

 

Cenário 1
IPsec VPN – Azure ER Microsoft Peering ou AWS DX Public VIF
Pré-requisitos
  • Endereços IP públicos próprios que possam ser atribuídos para usar Microsoft Peering e Public VIF.
    Nota: Se endereços IP públicos não forem de sua propriedade, use MCR (Cenário 2).
  • Appliance de rede próprio compatível com IPsec.
Megaport Technology Required Quantos?
Port Sim 1 ou (2 em um Link Aggregation/LAG)
Megaport Cloud Router (MCR) Não
Virtual Cross Connect (VXC) Sim 1 para cada CSP (Azure ou AWS)
Cenário 1
Considerações
  • A Azure e a AWS usam o protocolo padrão do setor IPsec AES128 ou AES256 para criptografia: usar outros protocolos por motivos de segurança ou desempenho não é facilmente personalizável.
  • A VPN IPsec da Azure e da AWS pode ser configurada com HA Active-Active.
  • O throughput máximo disponível para o AWS Virtual Private Gateway é 1.25 Gbps. O throughput máximo das VPNs do Azure depende do SKU do VPN Gateway.
Cenário 2
IPsec VPN via Megaport Cloud Router (MCR) – Azure ER Microsoft Peering ou AWS DX Public VIF
Esta solução é adequada para organizações que não possuem endereços IP públicos.
Pré-requisitos
  • Appliance de rede de propriedade do cliente com suporte a IPsec.
Megaport Technology Required Quantos?
Port Sim 1 (2 em um Link Aggregation/LAG)
Megaport Cloud Router (MCR) Sim 1
Virtual Cross Connect (VXC) Sim 1 para cada CSP (Azure ou AWS) e 1 Private VXC
Cenário 2
Considerações
  • A Azure e a AWS usam o protocolo padrão do setor IPsec AES128 ou AES256 para criptografia: usar outros protocolos por motivos de segurança ou desempenho não é facilmente personalizável.
  • A VPN IPsec da Azure e da AWS pode ser configurada com HA Active-Active.
  • O throughput máximo disponível para o AWS Virtual Private Gateway é 1.25 Gbps. O throughput máximo das VPNs do Azure depende do SKU do VPN Gateway.
Cenário 3
IPsec (ou outra) VPN - Private Peering ou Private VIF com Network Virtual Appliance (NVA) no Azure ou na AWS.
Pré-requisitos
  • Appliances de rede com suporte a IPsec de propriedade do cliente on-premises e na cloud.
Megaport Technology Required Quantos?
Port Sim 1 (2 em um Link Aggregation/LAG)
Megaport Cloud Router (MCR) Não
Virtual Cross Connect (VXC) Sim 1 para cada CSP (Azure ou AWS)
Cenário 3
Considerações
  • As organizações têm flexibilidade quanto ao método de criptografia para obter melhor segurança ou melhor desempenho.
  • Custo adicional para as VMs que executam a NVA.
  • As organizações precisarão considerar como projetar e entregar HA para este cenário.
  • O throughput máximo pode exceder 1.25 Gbps até o tamanho máximo de Port (1 Gbps ou 10 Gbps) com a capacidade de compute adequada disponível na NVA.
Cenário 4
IPsec (ou outra) VPN - Multicloud com Network Virtual Appliance (NVA) no Azure e na AWS.
Esta solução é adequada para organizações com infraestrutura on-premises que não está geograficamente próxima aos CSPs.
Pré-requisitos
  • O cliente possui appliances de rede com suporte a IPsec on-premises e na cloud.
Megaport Technology Required Quantos?
Port Sim 1 (2 em um Link Aggregation/LAG)
Megaport Cloud Router (MCR) Sim 1
Virtual Cross Connect (VXC) Sim 1 para cada CSP (Azure e AWS) e 1 Private VXC
Cenário 4
Considerações
  • Fornece um método flexível de criptografia para melhor segurança ou melhor desempenho.
  • Custo adicional para as VMs que executam a NVA.
  • É necessário considerar como projetar e entregar HA para este cenário.
  • O throughput máximo pode exceder 1.25 Gbps com a capacidade de compute necessária disponível na NVA.

Referências úteis