Wenn Ihre Organisation Abo-Varianten von Creative Cloud mit Managed Services erworben hat, richtet Adobe speziell für Sie eine Instanz in einem Datenzentrum ein, das sich möglichst nahe bei Ihrem physikalischen Standort befindet.

Alle Managed Services, einschließlich Cloud-Speicherplatz, werden innerhalb einer Amazon Virtual Private Cloud (VPC) ausgeführt, die innerhalb eines vom Kunden definierten VPN (virtuelles privates Netzwerk), das einem einzelnen Unternehmenskunden zugeordnet ist, isoliert werden kann. Die Amazon VPC kann so konfiguriert werden, dass sie innerhalb des Firmennetzwerks Ihrer Organisation ausgeführt werden kann, sodass jedem Computer in der Amazon VPC eine eigene IP-Adresse zugewiesen wird. In dieser Konfiguration wird die Amazon VPC mithilfe eines IPsec-Tunnels mit dem Netzwerk verbunden, sodass HTTPS-Anforderungen nicht über das Internet, sondern über einen gesicherten Tunnel vom Netzwerk zur Amazon VPC gesendet werden können.

Weitere Informationen finden Sie unter Creative Cloud für Unternehmen – Übersicht über die Sicherheit.

Hardware-VPN-Verbindung herstellen

Die Amazon Virtual Private Cloud (VPC) bietet mehrere Optionen für die Netzwerkverbindung, abhängig von Ihrem Netzwerkdesign und Ihren Anforderungen. Als Backbone-Netzwerk können Sie entweder eine Internetverbindung oder eine AWS Direct Connect-Verbindung verwenden (AWS – Amazon Web Services). Terminieren Sie Ihre Verbindung entweder in AWS oder in vom Benutzer verwalteten Netzwerkendpunkten. Mit AWS können Sie festlegen, wie das Netzwerkrouting zwischen der Amazon VPC und Ihren Netzwerken übermittelt werden kann, wobei entweder AWS oder vom Benutzer verwaltete Netzwerkgeräte und Routen verwendet werden. Sie können nur von Adobe bereitgestellte AWS verwenden. In diesem Artikel wird vorwiegend die Hardware-VPN-Verbindung erläutert.

Sie können zwischen Ihrem Remotenetzwerk und Ihrer Amazon VPC eine hardwarebasierte IPsec-VPN-Verbindung über das Internet erstellen.

Vorteile einer hardwarebasierten IPsec-VPN-Verbindung:

  • Durch AWS verwaltete Endpunkte beinhalten Redundanz durch mehrere Datenzentren und eine automatisierte Ausfallsicherung.
  • Sie können vorhandene VPN-Geräte und -Prozesse wiederverwenden.
  • Sie können vorhandene Internet-Verbindungen wiederverwenden.
  • Es werden statische Routen oder dynamische BGP-Peering- und -Routing-Richtlinien (Border Gateway Protocol) unterstützt.

Das Amazon VGW (Virtuelles privates Gateway) repräsentiert zwei unterschiedliche VPN-Endpunkte, die sich physikalisch in separaten Datenzentren befinden, um die Verfügbarkeit der VPN-Verbindung zu erhöhen.

Einschränkungen, die Sie beachten müssen:

  • Netzwerklatenz, -variabilität und -verfügbarkeit hängen von den Internet-Bedingungen ab.
  • Der vom Kunden verwaltete Endpunkt ist für die Implementierung von Redundanz und Ausfallsicherung (falls erforderlich) zuständig.
  • Das Kundengerät muss Single Hop-BGP unterstützen (sofern BGP für dynamisches Routing genutzt wird).

Sie haben die Möglichkeit, dynamisches als auch statisches Routing zu verwenden. Dynamisches Routing nutzt BGP-Peering zum Austausch von Routinginformationen zwischen AWS und den Remote-Endpunkten. Sowohl IPsec- als auch BGP-Verbindungen müssen auf demselben Benutzer-Gatewaygerät terminiert werden, wenn sie BGP verwenden.

Komponenten der VPN-Verbindung

  • Virtuelles privates Gateway: Ein virtuelles privates Gateway, das den VPN-Konzentrator auf der Amazon-Seite der Verbindung darstellt.
  • Kunden-Gateway: Ein Kunden-Gateway, d. h. ein physisches Gerät oder eine Software-Applikation auf Ihrer Seite der Verbindung. Ihr Kunden-Gateway muss die Tunnel und nicht das virtuelle private Gateway initiieren. Um zu verhindern, dass die Tunnelverbindung unterbrochen wird, können Sie ein Netzwerküberwachungs-Tool verwenden, das Keep-Alive-Pings zur Aufrechterhaltung der Verbindung generiert.

VPN-Routingoptionen

Hersteller und Modell Ihres VPN-Geräts definieren Ihre Auswahl des Routingtyps. Eine Liste der statischen und dynamischen Routinggeräte, die mit der Amazon VPC getestet wurden, finden Sie unter Amazon VPC – Häufige Fragen.

Bei BGP-Geräten müssen Sie keine statischen Routen angeben, da das Gerät die Routen dem virtuellen Gateway mitteilt. Aktivieren Sie für Geräte, die BGP nicht unterstützen, das statische Routing und geben Sie die Routen (IP-Präfixe) für Ihr Netzwerk an. Nur IP-Präfixe, die dem virtuellen privaten Gateway bekannt sind, können Datenverkehr aus der VPC empfangen.

Optionen für die VPN-Tunnelkonfiguration

Ein virtuelles privates Gateway, ein Kundengateway, zwei VPN-Tunnel

Verwenden Sie eine VPN-Verbindung, um Ihr Netzwerk mit einer VPC zu verbinden. Jede VPN-Verbindung verfügt über zwei Tunnel mit einer eindeutigen öffentlichen IP-Adresse pro Tunnel für das virtuelle private Gateway. Stellen Sie sicher, dass Sie beide Tunnel für Redundanz konfigurieren. Wenn ein Tunnel nicht verfügbar ist, wird der Netzwerkverkehr automatisch an den für diese spezielle Verbindung verfügbaren Tunnel weitergeleitet.

Hardware-VPN

Ein virtuelles privates Gateway, zwei Kundengateways, zwei VPN-Tunnel von jedem Kundengateway

Jede VPN-Verbindung verfügt über zwei Tunnel, um eine Verbindung sicherzustellen, wenn einer der Tunnel nicht verfügbar ist. Für einen verbesserten Schutz vor einem Verbindungsverlust können Sie mithilfe eines zweiten Kunden-Gateways eine zweite VPN-Verbindung mit Ihrer VPC einrichten. Mit redundanten VPN-Verbindungen und Kunden-Gateways ist es einfacher, auf dem einen Kunden-Gateway Wartungsarbeiten durchzuführen, während der Datenverkehr über die VPN-Verbindung des zweiten Kunden-Gateways geleitet wird.

Die IP-Adresse des Kunden-Gateways für die zweite VPN-Verbindung muss öffentlich zugänglich sein und darf nicht mit der IP-Adresse für die erste VPN-Verbindung übereinstimmen.

Ausführliche Informationen zu den Anforderungen für eine VPN-Verbindung finden Sie unter Was Sie für eine VPN-Verbindung benötigen.

Redundant ausgelegte Hardware-VPN-Verbindungen

VPN-Parameter

Die folgenden Parameter werden durch AWS bestimmt und können nicht geändert werden.  Jeder Tunnel muss diesen Parametern entsprechen.

Phase I Angebot

AES-128-SHA1

ODER

AES-256-SHA2

Phase I Gültigkeitsdauer (in Sekunden)

28800

Diffie-Hellman-Gruppe

Phase I: 2, 14-18, 22, 23 und 24

Phase II: 1, 2, 5, 14-18, 22, 23 und 24

PFS (Ja/Nein)

Ja

Modus (Main/Aggressive)

Main

Phase II Angebot

AES-128-SHA1

ODER

AES-256-SHA2

Phase II Gültigkeitsdauer (in Sekunden)

3600

Kapselung

ESP

Firewall-Regeln

Stellen Sie eine Liste von ACL-Regeln bereit, die sowohl den eingehenden als auch den ausgehenden Datenverkehr im VPN-Tunnel regulieren. Achten Sie darauf, dass alle Regeln für beide Richtungen aufgelistet sind:

Quell-IP: Alle internen IP-Adressen des Kundenunternehmens
Ziel: Instanz von Creative Cloud für Unternehmen mit Managed Services des Kunden
Protokoll: HTTPS
Port: 443

Angaben, die Sie gegenüber Adobe machen müssen

  • Gewünschtes Subnetz (vorzugsweise /27 oder höher)
  • IP-Adresse des Kunden-Gateways (VPN-Gerät)
  • Routingoption (dynamisch oder statisch)
    • Geben Sie bei dynamischem Routing die BGP-ASN an. (Weitere Informationen finden Sie unter [1].)
    • Bei statischem Routing muss die Verschlüsselungsdomäne (für die Rückleitung zum Kundennetzwerk) angegeben werden.
  • Hersteller des VPN-Geräts. (Eine Liste der VPN-Hersteller und -Geräte finden Sie unter [2].)
  • Modell des VPN-Geräts, z. B. „ASA5850“
  • Firmware-Version des VPN-Geräts, z. B. „IOS 12.x“

[1] Bei BGP-Geräten müssen Sie keine statischen Routen angeben, da das Gerät die Routen dem virtuellen Gateway mitteilt. Aktivieren Sie für Geräte, die BGP nicht unterstützen, das statische Routing und geben Sie die Routen (IP-Präfixe) für Ihr Netzwerk an. Nur IP-Präfixe, die dem virtuellen privaten Gateway bekannt sind, können Datenverkehr aus der VPC empfangen.

[2] http://aws.amazon.com/de/vpc/faqs/#C9

Dieses Werk unterliegt den Bedingungen der Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Twitter™- und Facebook-Beiträge fallen nicht unter die Bedingungen der Creative Commons-Lizenz.

Rechtliche Hinweise   |   Online-Datenschutzrichtlinie