Si votre entreprise a souscrit des formules Creative Cloud avec services gérés, Adobe configure une instance dédiée dans un centre de données qui se trouve le plus près de votre emplacement physique.

Tous les services gérés, y compris le stockage, s’exécutent à l’intérieur d’un Amazon Virtual Private Cloud (VPC) qui peut être isolé au sein d’un réseau privé virtuel (VPN) défini par le client et dédié à un client d’entreprise unique. L’Amazon VPC peut être configuré pour s’exécuter à l’intérieur du réseau de l’entreprise afin qu’une adresse IP privée soit assignée à chaque ordinateur présent dans l’Amazon VPC. Dans cette configuration, l’Amazon VPC est connecté au réseau à l’aide d’un tunnel IPSec, de sorte que les requêtes HTTPS peuvent être envoyées à partir du réseau à l’Amazon VPC via le tunnel sécurisé, plutôt que par Internet.

Pour plus d’informations, consultez la section Creative Cloud abonnement Entreprise – Présentation des options de sécurité.

Établissement d’une connexion VPN matérielle

Amazon Virtual Private Cloud (VPC) fournit de nombreuses options de connectivité réseau en fonction de vos exigences et de la conception du réseau. Vous pouvez choisir d’utiliser Internet ou une connexion Amazon Web Services (AWS) Direct Connect en tant que réseau fédérateur. Mettez fin à votre connexion dans AWS ou dans les points de terminaison réseau gérés par l’utilisateur. Avec AWS, vous pouvez spécifier la transmission du routage réseau entre Amazon VPC et vos réseaux, exploitant AWS ou un équipement de réseau et des itinéraires gérés par les utilisateurs. Vous ne pouvez utiliser que l’AWS qui a été fourni par Adobe. Cet article se concentre sur l’option de connectivité VPN matérielle.

Vous pouvez créer une connexion VPN IPsec matérielle, via Internet, entre votre réseau à distance et votre Amazon VPC.

Avantages d’une connexion VPN IPSec matérielle :

  • Les points de terminaison gérés par AWS incluent la redondance des centres de données multiples et le basculement automatique.
  • Vous pouvez réutiliser l’équipement VPN et les processus.
  • Vous pouvez réutiliser les connexions Internet existantes.
  • Les itinéraires statiques ou le peering dynamique Border Gateway Protocol (BGP) et les politiques de routage sont pris en charge.

La passerelle privée virtuelle Amazon (VGW) représente deux points de terminaison VPN différents, physiquement situés dans des centres de données distincts, afin d’augmenter la disponibilité de votre connexion VPN.

Limitations que vous devez prendre en compte :

  • La latence du réseau, la variabilité et la disponibilité dépendent des conditions d’Internet.
  • Le point de terminaison géré par le client est responsable de la mise en œuvre de la redondance et du basculement (si nécessaire).
  • L’appareil du client doit prendre en charge le protocole BGP à saut unique (lors de l’exploitation BGP pour le routage dynamique).

Vous avez le choix entre le routage dynamique et le routage statique. Le routage dynamique utilise le peering BGP pour échanger des informations de routage entre AWS et les points de terminaison distants. Les connexions IPSec et BGP doivent se terminer sur le même périphérique de passerelle utilisateur lors de l’utilisation du protocole BGP.

Composants de la connexion VPN

  • Passerelle privée virtuelle : il s’agit d’un concentrateur VPN du côté d’Amazon de la connexion.
  • Passerelle client : il s’agit d’un appareil physique ou d’une application logicielle de votre côté de la connexion. Votre passerelle client doit initier les tunnels et non la passerelle privée virtuelle. Pour éviter que le tunnel ne tombe en panne, vous pouvez utiliser un outil de contrôle du réseau pour générer des commandes ping keepalive.

Options de routage VPN

La marque et le modèle de vos périphériques VPN déterminent le type de routage choisi. Pour obtenir une liste des périphériques de routage statiques et dynamiques qui ont été testés avec Amazon VPC, reportez-vous à la section FAQ du Cloud privé virtuel d’Amazon.

Avec les périphériques BGP, vous ne devez pas spécifier d’itinéraires statiques étant donné que le périphérique annonce ses itinéraires vers la passerelle privée virtuelle. Pour les périphériques qui ne prennent pas en charge le protocole BGP, sélectionnez le routage statique et entrez les itinéraires (préfixes IP) pour votre réseau. Seuls les préfixes IP connus de la passerelle privée virtuelle reçoivent le trafic en provenance de votre VPC.

Options de configuration du tunnel VPN

Une passerelle privée virtuelle, une passerelle client, deux tunnels VPN

Utilisez une connexion VPN pour connecter votre réseau à un VPC. Chaque connexion VPN possède deux tunnels, chacun doté d’une adresse IP publique de passerelle privée virtuelle unique. Veillez à configurer les deux tunnels pour assurer la redondance. Lorsqu’un tunnel n’est pas disponible, le trafic réseau est automatiquement acheminé vers le tunnel disponible pour cette connexion spécifique.

VPN matériel

Une passerelle privée virtuelle, deux passerelles client, deux tunnels VPN issus de chaque passerelle client

Chaque connexion VPN possède deux tunnels afin d’assurer la connectivité lorsqu’un des tunnels n’est pas disponible. Pour une meilleure protection contre la perte de connectivité, vous pouvez configurer une deuxième connexion VPN sur votre VPC à l’aide d’une seconde passerelle client. Grâce aux connexions VPN redondantes et aux passerelles client, il est plus facile d’exécuter des opérations de maintenance sur une passerelle client lorsque le trafic transite par la connexion VPN d’une deuxième passerelle client.

L’adresse IP de la passerelle client associée à la deuxième connexion VPN doit être accessible au public et ne peut pas être identique à celle de votre première connexion VPN.

Pour plus d’informations sur la configuration requise pour une connexion VPN, reportez-vous à la section Indispensables pour une connexion VPN.

Connexions VPN matérielles redondantes

Paramètres VPN

Les paramètres suivants sont dictés par AWS et ne peuvent pas être modifiés.  Chaque tunnel devra respecter ces paramètres.

Phase I : Proposition

AES-128-SHA1

OU

AES-256-SHA2

Phase I : Durée de vie (secondes)

28800

Groupe Diffie-Hellman

Phase I : 2, 14-18, 22, 23 et 24

Phase II : 1, 2, 5, 14-18, 22, 23 et 24

PFS (Oui/Non)

Oui

Mode (Principal/Agressif)

Principal

Phase II : Proposition

AES-128-SHA1

OU

AES-256-SHA2

Phase II : Durée de vie (secondes)

3600

Encapsulation

ESP

Règles du pare-feu

Fournissez une liste des règles ACL pour spécifier à la fois le trafic d’entrée et de sortie transitant par le tunnel VPN. Veillez à répertorier toutes les règles dans les deux directions :

Adresse IP source : toutes les adresses IP internes de l’entreprise cliente
Destination : instance client de Creative Cloud abonnement Entreprise avec services gérés
Protocole : HTTPS
Port : 443

Informations que vous devez fournir à Adobe

  • Sous-réseau souhaité (de préférence /27 ou version ultérieure)
  • Adresse IP de la passerelle client (périphérique VPN)
  • Option de routage (dynamique ou statique)
    • Pour un routage dynamique, spécifiez l’ASN BGP (voir [1] pour plus de détails)
    • Pour un routage statique, spécifiez le domaine de cryptage (itinéraires de retour vers le réseau client)
  • Fabricant du périphérique VPN (voir [2] pour consulter la liste des fabricants et périphériques VPN)
  • Modèle de périphérique VPN ; par exemple, ASA5850
  • Version du micrologiciel de périphérique VPN ; par exemple, IOS 12.x

[1] Avec les périphériques BGP, vous ne devez pas spécifier d’itinéraires statiques étant donné que le périphérique annonce ses itinéraires vers la passerelle privée virtuelle. Pour les périphériques qui ne prennent pas en charge le protocole BGP, sélectionnez le routage statique et entrez les itinéraires (préfixes IP) pour votre réseau. Seuls les préfixes IP connus de la passerelle privée virtuelle reçoivent le trafic en provenance de votre VPC.

[2] http://aws.amazon.com/vpc/faqs/#C9

Ce produit est distribué sous licence Creative Commons Attribution - Pas d’utilisation commerciale - Partage à l’identique 3.0 non transposé  Les publications Twitter™ et Facebook ne sont pas couvertes par les dispositions Creative Commons.

Mentions légales   |   Politique de confidentialité en ligne