Hvis din organisation har købt Creative Cloud med administrerede tjenester, opretter Adobe en dedikeret forekomst i et datacenter, der er placeret tæt på din fysiske placering.

Alle administrerede tjenester, herunder lagring, kører i et Amazon Virtual Private Cloud (VPC), som kan isoleres inden for et kundedefineret virtuelt privat netværk (VPN), der er dedikeret til én enkelt virksomhedskunde. Amazon VPC kan konfigureres til at køre i din organisations virksomhedsnetværk, så hver maskine i Amazon VPC tilknyttes en privat IP-adresse. I denne konfiguration er Amazon VPC tilsluttet netværket med en IPsec-tunnel, så HTTPS-anmodninger kan sendes fra netværket til Amazon VPC via den sikre tunnel i stedet for internettet.

Du kan finde flere oplysninger under Creative Cloud for enterprise – sikkerhedsoversigt.

Oprettelse af en VPN-hardwareforbindelse

Amazon Virtual Private Cloud (VPC) giver flere tilslutningsmuligheder afhængigt af netværksdesignet og -kravene. Du kan bruge internettet eller en Amazon Web Services (AWS) Direct Connect-forbindelse som dit grundlæggende netværk. Afbryd forbindelsen i AWS eller i brugeradministrerede netværksslutpunkter. Med AWS kan du angive, hvordan netværksrouting skal leveres mellem Amazon VPC og dine netværk ved at udnytte enten AWS eller brugeradministrerede netværksudstyr og ruter. Du kan kun bruge AWS, der leveres af Adobe. Denne artikel har fokus på VPN-hardwaretilslutningsfunktionen.

Du kan oprette en hardwarebaseret IPsec VPN-forbindelse via internettet mellem det eksterne netværk og Amazon VPC.

Fordele ved en hardwarebaseret IPSec VPN-forbindelse:

  • Administrerede AWS-slutpunkter indeholder redundans med flere datacentre og automatisk failover.
  • Du kan genbruge eksisterende VPN-udstyr og -processer.
  • Du kan genbruge eksisterende internetforbindelser
  • Statiske ruter eller dynamiske BGP-peering- og routingpolitikker (Border Gateway Protocol) understøttes.

Amazons virtuelle private gateway (VGW) udgør to særskilte VPN-slutpunkter, der er fysisk placeret i særskilte datacentre for at øge tilgængeligheden af VPN-forbindelsen.

Begrænsninger, som du bør tage i betragtning:

  • Netværkslatens, varians og tilgængelighed afhænger internetbetingelserne.
  • Det kundeadministrerede slutpunkt har ansvaret for gennemførelsen af redundans og failover (hvis det er nødvendigt).
  • Kundeenheden skal understøtte single-hop BGP (ved udnyttelse af BGP til dynamisk routing).

Der er mulighed for dynamisk og statisk routing. Dynamisk routing udnytter BGP-peering til udveksling af routingoplysninger mellem AWS og de eksterne slutpunkter. Både IPSec- og BGP-forbindelser skal afsluttes på den samme brugers gatewayenhed ved anvendelse af BGP.

Elementer i VPN-forbindelsen

  • Virtuel privat gateway: En virtuel privat gateway, der er VPN-koncentratoren i Amazon-forbindelsen.
  • Kunde-gateway: En kunde-gateway, som er en fysisk enhed eller et softwareprogram i kundeforbindelsen. Din kunde-gateway skal starte tunnellerne og ikke den virtuelle private gateway. Du kan forhindre tunnelen i at få nedbrud ved at bruge et værktøj til netværksovervågning til at generere keepalive-pings.

VPN-routingmuligheder

Valget af routingtype afhænger af mærke og model af dine VPN-enheder. Du kan se en liste over statiske og dynamiske routingenheder, der er blevet testet med Amazon VPC i Ofte stillede spørgsmål om Amazon Virtual Private Cloud.

Med BGP-enheder skal du ikke specificere statiske ruter, da enheden angiver ruterne til den virtuelle private gateway. For enheder, der ikke understøtter BGP, skal du vælge statisk routing og angive ruterne (IP-præfikserne) for dit netværk. Det er kun IP-præfikser, der kendes af den virtuelle private gateway, der modtager trafik fra dit VPC.

Konfigurationsindstillinger for VPN tunnel

Én virtuel privat gateway, én kunde-gateway, to VPN-tunneller

Du skal bruge en VPN-forbindelse til at oprette forbindelse til et VPC. Alle VPN-forbindelser har to tunneller med en offentlig IP-adresse til én unik virtuel privat gateway for hver tunnel. Du skal sørge for at konfigurere begge tunneller for redundans. Hvis en tunnel er utilgængelig, føres netværkstrafikken automatisk hen til en tilgængelig tunnel for den specifikke forbindelse.

Hardware-VPN

Én virtuel privat gateway, to kunde-gateways, to VPN-tunneller fra hver kunde-gateway

Alle VPN-forbindelser har to tunneller for at sikre tilslutningsmuligheden i situationer, hvor én af tunnellerne er utilgængelige. Hvis du ønsker bedre beskyttelse mod manglende forbindelse, kan du konfigurere en anden VPN-forbindelse ved at anvende en anden kunde-gateway. Med redundante VPN-forbindelser og kunde-gateways er det nemmere at køre vedligeholdelsesfunktioner på én kunde-gateway, samtidig med at trafikken glider over på den anden kunde-gateways VPN-forbindelse.

Kunde-gatewayens IP-adresse for den anden VPN-forbindelse skal være offentligt tilgængelig og kan ikke være identisk med den første VPN-forbindelse.

Du kan finde flere oplysninger om krav til en VPN-forbindelse under Krav til en VPN-forbindelse.

Redundante VPN-hardwareforbindelser

VPN-parametre

Følgende parametre er anvist af AWS og kan ikke ændres. Hver tunnel skal overholde disse parametre.

Fase I-forslag

AES-128-SHA1

ELLER

AES-256-SHA2

Fase I-levetid (nr. 2)

28800

Diffe-Hellman-gruppe

Fase I: 2, 14-18, 22, 23 og 24

Fase II: 1, 2, 5, 14-18, 22, 23 og 24

PFS (ja/nej)

Ja

Tilstand (hoved/aggressiv)

Hoved

Fase II-forslag

AES-128-SHA1

ELLER

AES-256-SHA2

Fase II-levetid (nr. 2)

3600

Indkapsling

ESP

Firewall-regler

Du kan angive en liste med ACL-regler for at specificere den indgangs- og udgangstrafik, der krydser tunnellen. Sørg for at angive alle reglerne i begge retninger:

Kilde IP-adresse: Alle kundens interne IP-virksomhedsadresser
Destination: Kundens forekomst af Creative Cloud for enterprise med administrerede tjenester
Protokol: HTTPS
Port: 443

Oplysninger, der skal gives til Adobe

  • Ønsket undernet (helst /27 eller højere)
  • IP-adresse til kundens gateway (VPN-enhed)
  • Routingindstilling (dynamisk eller statisk)
    • Hvis dynamisk er valgt, skal du angive BGP ASN (se [1], hvis du ønsker flere oplysninger)
    • Hvis statisk er valgt, skal du angive krypteringsdomæne (dirigeres tilbage til kundenetværket)
  • Producenten af VPN-enheden (se [2] for at få en liste med VPN-producenter og -enheder)
  • VPN-enhedsmodel, f.eks. ASA5850
  • VPN-enhedens firmwareversion, f.eks., IOS 12.x

[1] Med BGP-enheder skal du ikke specificere statiske ruter, da enheden angiver ruterne til den virtuelle private gateway. For enheder, der ikke understøtter BGP, skal du vælge statisk routing og angive ruterne (IP-præfikserne) for dit netværk. Det er kun IP-præfikser, der kendes af den virtuelle private gateway, der modtager trafik fra dit VPC.

[2] http://aws.amazon.com/vpc/faqs/#C9

Dette arbejde har licens under en Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License  Opslag på Twitter™ og Facebook er ikke omfattet af vilkårene for Creative Commons.

Juridiske meddelelser   |   Politik for beskyttelse af personlige oplysninger online