Se l’organizzazione ha acquistato piani Creative Cloud con servizi gestiti, Adobe configura un’istanza dedicata ad essa, in un datacenter situato il più vicino possibile alla sua località fisica.

Tutti i servizi gestiti, compresa l’archiviazione, sono eseguiti all’interno di un Amazon Virtual Private Cloud (VPC) che può essere isolato all’interno di una rete privata virtuale (VPN) definita dal cliente, dedicata a un singolo cliente enterprise. Il VPC Amazon può essere configurato per l’esecuzione all’interno della rete aziendale dell’organizzazione, in modo che a ogni computer nel VPC Amazon sia assegnato un indirizzo IP privato. In questa configurazione, il VPC Amazon è connesso alla rete tramite un tunnel IPsec, per cui le richieste HTTPS possono essere inviate dalla rete al VPC Amazon attraverso il tunnel protetto anziché da Internet.

Per ulteriori informazioni, consulta Creative Cloud for enterprise - Cenni preliminari sulla protezione.

Stabilire una connessione VPN hardware

Amazon Virtual Private Cloud (VPC) offre diverse opzioni di connettività di rete a seconda della progettazione e dei requisiti della rete. Puoi scegliere di utilizzare Internet o una connessione Amazon Web Services (AWS) Direct Connect come rete backbone. Chiudi la connessione in AWS o negli endpoint di rete gestiti dall’utente. Con AWS, puoi specificare come il routing di rete verrà inviato tra Amazon VPC e le tue reti, sfruttando AWS o le apparecchiature e gli instradamenti della rete gestita dall’utente. Puoi utilizzare solo AWS fornito da Adobe. Questo articolo è incentrato sull’opzione di connettività VPN hardware.

Puoi creare una connessione VPN IPsec basata su hardware, su Internet, tra la rete remota e il VPC Amazon.

Vantaggi di una connessione VPN IPSec basata su hardware:

  • Gli endpoint gestiti da AWS includono la ridondanza per più datacenter e il failover automatico.
  • Puoi riutilizzare le apparecchiature e i processi VPN esistenti.
  • Puoi riutilizzare connessioni Internet esistenti.
  • Sono supportati instradamenti statici o peering e politiche di instradamento BGP dinamici.

Il gateway privato virtuale (VGW) di Amazon rappresenta due endpoint VPN distinti, fisicamente situati in datacenter separati, per aumentare la disponibilità della tua connessione VPN.

Limitazioni da prendere in considerazione:

  • La latenza, la variabilità e la disponibilità della rete dipendono dalle condizioni di Internet.
  • L’endpoint gestito dal cliente è responsabile per l’implementazione di ridondanza e failover (se necessario).
  • Il dispositivo del cliente deve supportare BGP a singolo hop (quando si sfrutta BGP per l’instradamento dinamico).

Puoi scegliere tra instradamento dinamico o statico. L’instradamento dinamico sfrutta il peering BGP per scambiare le informazioni di instradamento tra AWS e gli endpoint remoti. Quando si utilizza BGP, le connessioni IPSec e BGP devono terminare sullo stesso dispositivo gateway dell’utente.

Componenti della connessione VPN

  • Gateway privato virtuale: un gateway privato virtuale ovvero il concentratore VPN dal lato Amazon della connessione.
  • Gateway del cliente: un gateway cliente che è un dispositivo fisico o un’applicazione software dal tuo lato della connessione. Il tuo gateway cliente dovrà avviare il tunnel e non il gateway privato virtuale. Per impedire che il tunnel si interrompa, puoi utilizzare uno strumento di monitoraggio della rete per generare comandi ping keepalive.

Opzioni di instradamento VPN

La marca e il modello dei tuoi dispositivi VPN definiscono la selezione del tipo di instradamento. Per un elenco dei dispositivi di instradamento statici e dinamici verificati con Amazon VPC, consulta le Domande frequenti per Amazon Virtual Private Cloud.

Con i dispositivi BGP, non è necessario specificare instradamenti statici perché il dispositivo annuncia i suoi instradamenti al gateway privato virtuale. Per i dispositivi che non supportano BGP, seleziona l’instradamento statico e immetti gli instradamenti (prefissi IP) della tua rete. Solo i prefissi IP noti al gateway privato virtuale ricevono il traffico dal tuo VPC.

Opzioni di configurazione del tunnel VPN

Un gateway privato virtuale, un gateway cliente, due tunnel VPN

Utilizza una connessione VPN per connettere la tua rete a un VPC. Ciascuna connessione VPN ha due tunnel con un indirizzo IP pubblico del gateway privato virtuale univoco, per ciascun tunnel. Assicurati di configurare entrambi i tunnel per la ridondanza. Quando un tunnel non è disponibile, il traffico di rete viene automaticamente instradato verso il tunnel disponibile per tale connessione specifica.

VPN hardware

Un gateway privato virtuale, due gateway cliente, due tunnel VPN per ciascun gateway cliente

Ciascuna connessione VPN ha due tunnel per garantire la connettività nelle situazioni in cui uno dei tunnel non è disponibile. Per una migliore protezione contro la perdita di connettività, puoi configurare una seconda connessione VPN al tuo VPC utilizzando un secondo gateway cliente. Con le connessioni VPN e gateway cliente ridondanti, è più facile eseguire le operazioni di manutenzione su uno dei gateway del cliente mentre il traffico utilizza la connessione VPN del secondo gateway del cliente.

L’indirizzo IP del gateway del cliente per la seconda connessione VPN deve essere accessibile pubblicamente e non può essere identico a quello della prima connessione VPN.

Per dettagli sui requisiti di una connessione VPN, consulta What you need for a VPN connection (Requisiti per una connessione VPN).

Connessioni VPN hardware ridondanti

Parametri VPN

I seguenti parametri sono determinati da AWS e non possono essere modificati.  Ogni tunnel dovrà conformarsi a questi parametri.

Phase I Proposal

AES-128-SHA1

OPPURE

AES-256-SHA2

Phase I Lifetime (sec)

28800

Diffie-Hellman Group

Phase I: 2, 14-18, 22, 23 e 24

Phase II: 1, 2, 5, 14-18, 22, 23 e 24

PFS (Sì/No)

Mode (Main/Aggressive)

Main

Phase II Proposal

AES-128-SHA1

OPPURE

AES-256-SHA2

Phase II Lifetime (sec)

3600

Encapsulation

ESP

Regole del firewall

Fornisci un elenco di regole ACL per specificare il traffico in ingresso e in uscita attraverso il tunnel VPN. Assicurati di includere tutte le regole in entrambe le direzioni:

IP di origine: tutti gli indirizzi IP interni aziendali del cliente
Destinazione: istanza Creative Cloud for enterprise con servizi gestiti del cliente
Protocollo: HTTPS
Porta: 443

Informazioni che devi fornire ad Adobe

  • Sottorete desiderata (preferibilmente /27 o valore successivo)
  • Indirizzo IP del gateway cliente (dispositivo VPN)
  • Opzione di instradamento (dinamico o statico)
    • Se dinamico, specifica BGP ASN (per maggiori informazioni, vedi [1])
    • Se statico, specifica il dominio di crittografia (instradamenti di ritorno alla rete del cliente)
  • Produttore del dispositivo VPN (per l’elenco dei produttori e dei dispositivi VPN, vedi [2])
  • Modello di dispositivo VPN, ad esempio, ASA5850
  • Versione firmware del dispositivo VPN, ad esempio, IOS 12.x

[1] Con i dispositivi BGP, non è necessario specificare instradamenti statici perché il dispositivo annuncia i suoi instradamenti al gateway privato virtuale. Per i dispositivi che non supportano BGP, seleziona l’instradamento statico e immetti gli instradamenti (prefissi IP) della tua rete. Solo i prefissi IP noti al gateway privato virtuale ricevono il traffico dal tuo VPC.

[2] http://aws.amazon.com/vpc/faqs/#C9

Questo prodotto è concesso in licenza in base alla licenza di Attribuzione-Non commerciale-Condividi allo stesso modo 3.0 Unported di Creative Commons.  I post su Twitter™ e Facebook non sono coperti dai termini di Creative Commons.

Note legali   |   Informativa sulla privacy online