Als uw organisatie lidmaatschappen op Creative Cloud met beheerde services heeft gekocht, stelt Adobe in een datacenter dat zich het dichtst bij uw fysieke locatie bevindt een speciale instantie in.

Alle beheerde services, inclusief opslagruimte, worden binnen een Amazon VPC (Virtual Private Cloud) uitgevoerd die kan worden geïsoleerd binnen een door de klant gedefinieerd VPN (Virtual Private Network) dat speciaal is toegewezen aan één zakelijke klant. De VPC van Amazon kan zo worden geconfigureerd dat deze in het bedrijfsnetwerk van uw organisatie wordt uitgevoerd, zodat aan elke computer in de VPC van Amazon een particulier IP-adres wordt toegewezen. In deze configuratie wordt de Amazon VPC met behulp van een IPSec-tunnel met het netwerk verbonden, zodat HTTPS-aanvragen vanuit het netwerk via de beveiligde tunnel naar de Amazon VPC kunnen worden verzonden, in plaats van via internet.

Zie het beveiligingsoverzicht voor Creative Cloud voor ondernemingen voor meer informatie.

Een hardware-VPN-verbinding instellen

Amazon VPC (Virtual Private Cloud) biedt meerdere opties voor netwerkverbindingen, afhankelijk van uw netwerkontwerp en vereisten. U kunt internet of een Amazon Web Services (AWS) Direct Connect-verbinding gebruiken als uw backbone-netwerk. Beëindig uw verbinding in AWS of in door gebruikers beheerde netwerkeindpunten. Met AWS kunt u opgeven hoe de netwerkroutering tussen de Amazon VPC en uw netwerken verloopt door gebruik te maken van AWS of van door gebruikers beheerde netwerkapparatuur en -routes. U kunt alleen AWS gebruiken die door Adobe is geleverd. In dit artikel wordt speciaal aandacht besteed aan de hardware-VPN-verbindingsoptie.

U kunt via internet een op hardware gebaseerde VPN-verbinding met IPSec maken tussen uw externe netwerk en uw Amazon VPC.

Voordelen van een op hardware gebaseerde VPN-verbinding met IPSec:

  • Door AWS beheerde eindpunten beschikken over redundantie bij meerdere datacenters en over automatische failover.
  • U kunt bestaande VPN-apparatuur en -processen opnieuw gebruiken.
  • U kunt bestaande internetverbindingen opnieuw gebruiken
  • Statische routes of dynamisch beleid voor BGP-peering (Border Gateway Protocol) en -routering worden ondersteund.

De Amazon VGW (Virtual Private Gateway) vertegenwoordigt twee verschillende VPN-eindpunten, die zich fysiek in aparte datacenters bevinden om de beschikbaarheid van uw VPN-verbinding te vergroten.

Beperkingen waar u mogelijk rekening mee moet houden:

  • Netwerklatentie, variabiliteit en beschikbaarheid zijn afhankelijk van internetomstandigheden.
  • Het door de klant beheerde eindpunt is verantwoordelijk voor de implementatie van redundantie en failover (indien vereist).
  • Het apparaat van de klant moet BGP met enkele hop ondersteunen (bij het gebruik van BGP voor dynamische routering).

U kunt zowel dynamische als statische routering gebruiken. Bij dynamische routering wordt BGP-peering gebruikt om routeringsgegevens uit te wisselen tussen AWS en de externe eindpunten. Zowel IPSec- als BGP-verbindingen moeten worden beëindigd op hetzelfde gateway-apparaat van de gebruiker bij gebruik van BGP.

Onderdelen van de VPN-verbinding

  • Virtual Private Gateway: een virtual private gateway die de VPN-concentrator is van de verbinding aan de kant van Amazon.
  • Klantgateway: een klantgateway die bestaat uit een fysiek apparaat of een softwareapplicatie aan uw kant van de verbinding. Uw klantgateway moet de tunnels activeren en niet de virtual private gateway. U kunt een tool voor de controle van het netwerk gebruiken om keepalive-pings te genereren om te voorkomen dat de tunnel ophoudt te functioneren.

VPN-routeringsopties

Welk type routering u moet selecteren, hangt af van het merk en model van uw VPN-apparaten. Zie de Veelgestelde vragen over de virtual private cloud van Amazon voor een lijst met statische en dynamische routeringsapparaten die zijn getest met Amazon VPC.

Met BGP-apparaten hoeft u geen statische routes op te geven omdat het apparaat zelf routes toont (adverteert) aan de virtual private gateway. Selecteer statische routering voor apparaten die BGP niet ondersteunen en voer de routes (IP-voorvoegsels) voor uw netwerk in. Alleen IP-voorvoegsels die bekend zijn bij de virtual private gateway, ontvangen verkeer van uw VPC.

Configuratieopties voor de VPN-tunnel

Eén virtual private gateway, één klantgateway, twee VPN-tunnels

Gebruik een VPN-verbinding om uw netwerk met een VPC te verbinden. Elke VPN-verbinding heeft twee tunnels met voor elke tunnel een uniek openbaar IP-adres voor de virtual private gateway. Zorg ervoor dat u beide tunnels configureert voor redundantie. Wanneer één tunnel niet beschikbaar is, wordt netwerkverkeer automatisch doorgestuurd naar de beschikbare tunnel voor die specifieke verbinding.

Hardware-VPN

Eén virtual private gateway, twee klantgateways, twee VPN-tunnels vanuit elke klantgateway

Elke VPN-verbinding heeft twee tunnels om de connectiviteit te waarborgen in situaties waarin een van de tunnels niet beschikbaar is. Voor een betere bescherming tegen verlies van connectiviteit kunt u een tweede VPN-verbinding naar uw VPC instellen met behulp van een tweede klantgateway. Met redundante VPN-verbindingen en klantgateways is het gemakkelijker om onderhoudsactiviteiten op de ene klantgateway uit te voeren, terwijl verkeer via de VPN-verbinding van de tweede klantgateway loopt.

Het IP-adres van de klantgateway voor de tweede VPN-verbinding moet openbaar toegankelijk zijn en mag niet hetzelfde zijn als het adres voor uw eerste VPN-verbinding.

Zie Wat u nodig hebt voor een VPN-verbinding voor meer informatie over vereisten voor een VPN-verbinding.

Redundante hardware-VPN-verbindingen

VPN-parameters

De volgende parameters worden voorgeschreven door AWS en kunnen niet worden gewijzigd.  Elke tunnel moet zich aan deze parameters houden.

Phase I Proposal

AES-128-SHA1

OF

AES-256-SHA2

Phase I Lifetime (sec)

28800

Diffe-Hellman Group

Fase I: 2, 14-18, 22, 23 en 24

Fase II: 1, 2, 5, 14-18, 22, 23 en 24

PFS (Yes/No)

Ja

Mode (Main/Aggressive)

Main

Phase II Proposal

AES-128-SHA1

OF

AES-256-SHA2

Phase II Lifetime (sec)

3600

Encapsulation

ESP

Firewallregels

Geef een lijst met ACL-regels op om zowel inkomend als uitgaand verkeer via de VPN-tunnel op te geven. Zorg ervoor dat alle regels in beide richtingen in de lijst worden vermeld:

Bron-IP: alle interne zakelijke IP-adressen van het bedrijf
Bestemming: instantie van Creative Cloud voor ondernemingen met beheerde services van de klant
Protocol: HTTPS
Poort: 443

Informatie die u aan Adobe moet doorgeven

  • Gewenst subnet (bij voorkeur /27 of hoger)
  • IP-adres van klantgateway (VPN-apparaat)
  • Routeringsoptie (dynamisch of statisch)
    • Als u de optie Dynamisch kiest, moet u het BGP ASN opgeven (zie [1] voor meer details)
    • Als u de optie Statisch kiest, moet u het versleutelingsdomein opgeven (leidt terug naar het netwerk van de klant)
  • Fabrikant van het VPN-apparaat (zie [2] voor een lijst met VPN-fabrikanten en -apparaten)
  • Model van het VPN-apparaat, bijvoorbeeld ASA5850
  • Firmwareversie van het VPN-apparaat, bijvoorbeeld iOS 12.x

[1] Met BGP-apparaten hoeft u geen statische routes op te geven omdat het apparaat zelf routes toont (adverteert) aan de virtual private gateway. Selecteer statische routering voor apparaten die BGP niet ondersteunen en voer de routes (IP-voorvoegsels) voor uw netwerk in. Alleen IP-voorvoegsels die bekend zijn bij de virtual private gateway, ontvangen verkeer van uw VPC.

[2] http://aws.amazon.com/vpc/faqs/#C9

Dit werk is gelicentieerd onder de Creative Commons Naamsvermelding/Niet-commercieel/Gelijk delen 3.0 Unported-licentie  De voorwaarden van Creative Commons zijn niet van toepassing op Twitter™- en Facebook-berichten.

Juridische kennisgevingen   |   Online privacybeleid