Jos organisaatiosi on ostanut hallinnoituja palveluja tukevia Creative Cloud ‑sopimuksia, Adobe määrittää erillisen esiintymän tietokeskukseen, joka sijaitsee fyysisesti lähimpänä toimipaikkaasi.

Kaikki hallinnoidut palvelut, myös tallennustila, suoritetaan Amazon Virtual Private Cloud (VPC) -pilvipalvelussa, joka voidaan eristää yksittäisen yritysasiakkaan erillisessä yksityisessä virtuaaliverkossa (VPN). Amazon VPC voidaan määrittää toimimaan organisaatiosi verkon sisällä, joten jokaiselle Amazon VPC:n laitteelle määritetään yksityinen IP-osoite. Tässä kokoonpanossa Amazon VPC on yhdistetty verkkoon IPsec-tunnelin avulla, joten verkosta voidaan lähettää HTTPS-pyyntöjä Amazon VPC:hen internetin sijaan suojatun tunnelin kautta.

Lisätietoja on ohjeaiheessa Creative Cloud for enterprise - tietoturvan yleiskatsaus.

Laitteistotason VPN-yhteyden luominen

Amazon Virtual Private Cloud (VPC) tarjoaa monia tapoja yhteyden muodostamiseen riippuen organisaation verkon rakenteesta ja tarpeista. Ydinverkkona voit käyttää internetiä tai Amazon Web Services (AWS) Direct Connect -yhteyttä. Voit määrittää yhteyden päätepisteen AWS-palveluun tai käyttäjän hallinnoimiin verkon päätepisteisiin. AWS:ssä voit määrittää, miten verkon reititys toteutetaan Amazon VPC:n ja verkkosi välillä. Voit hyödyntää AWS:ää tai käyttäjän hallinnoiman verkon laitteita ja reittejä. Voit käyttää vain Adoben tarjoamaa AWS-palvelua. Tämä artikkeli keskittyy laitteistotason VPN-yhteyden määrittämiseen.

Voit luoda internetin kautta laitteistopohjaisen IPsec VPN -yhteyden Amazon VPC:n ja etäverkkosi välille.

Laitteistopohjaisen IPSec VPN ‑yhteyden edut:

  • AWS:n hallinnoimiin päätepisteisiin kuuluu monen tietokeskuksen mahdollistama vikasietoisuus ja automaattinen palvelimen vaihto virhetilanteissa.
  • Voit käyttää olemassa olevia VPN-laitteita ja prosesseja.
  • Voit käyttää olemassa olevia internetyhteyksiä.
  • Tuki staattisille reiteille ja dynaamisille Border Gateway Protocol (BGP) -vertaisverkko- ja reitityskäytännöille.

Amazon Virtual Private Gateway (VGW) edustaa kahta eri tietokeskuksessa sijaitsevaa VPN-päätepistettä. VGW parantaa VPN-yhteytesi käytettävyyttä.

Huomioon otettavia rajoituksia:

  • Verkon vasteaika, vaihteluväli ja käytettävyys riippuvat internetin toiminnasta.
  • Asiakkaan hallinnoimassa päätepisteessä pitää toteuttaa vikasietoisuus ja virhetilanteeseen varautuminen.
  • Asiakkaan laitteen pitää tukea yksinkertaista BGP-protokollaa (kun BGP:tä käytetään dynaamiseen reititykseen).

Voit valita joko dynaamisen tai staattisen reitityksen. Dynaaminen reititys hyödyntää BGP-vertaisverkkoa ja vaihtaa reititystietoja AWS:n ja etäpäätepisteiden välillä. Sekä IPSec- että BGP-yhteyksien pitää päättyä samaan käyttäjän yhdyskäytävään BGP-protokollaa käytettäessä.

VPN-yhteyden komponentit

  • Virtual Private Gateway: yksityinen virtuaaliyhdyskäytävä, joka on yhteyden Amazonin pään VPN-keskitin.
  • Customer Gateway: asiakkaan yhdyskäytävä, joka on yhteyden asiakkaan pään fyysinen laite tai sovellus. Asiakkaan yhdyskäytävän, ei yksityisen virtuaaliyhdyskäytävän, on käynnistettävä tunnelit. Jotta tunneli ei katkeaisi, voit käyttää verkonvalvontatyökalua lähettämään yhteyttä ylläpitäviä ping-viestejä.

VPN-reitityksen vaihtoehdot

VPN-laitteesi merkki ja malli määrittävät, minkälaisen reitityksen voit valita. Löydät luettelon Amazon VPC:n kanssa testatuista staattisista ja dynaamisista reitityslaitteista artikkelista Amazon Virtual Private Cloud – usein kysytyt kysymykset.

BGP-laitteita käytettäessä staattisia reittejä ei tarvitse määrittää, koska laite lähettää tiedot reiteistään yksityiseen virtuaaliyhdyskäytävään. Jos laite ei tue BGP:tä, valitse staattinen reititys ja syötä verkkosi reitit (IP-etuliitteet). Vain yksityisen virtuaaliyhdyskäytävän tuntemat IP-etuliitteet voivat vastaanottaa liikennettä VPC:stä.

VPN-tunnelin määrityksen vaihtoehdot

Yksi yksityinen virtuaaliyhdyskäytävä, yksi asiakkaan yhdyskäytävä, kaksi VPN-tunnelia

Yhdistä verkkosi VPC:hen VPN-yhteyttä käyttäen. Jokaisessa VPN-yhteydessä on kaksi tunnelia, joilla kummallakin on yksityisen virtuaaliyhdyskäytävän yksilöivä, julkinen IP-osoite. Varmista, että määrität molemmat tunnelit vikasietoisuuden parantamiseksi. Kun yksi tunneli ei ole käytössä, verkkoliikenne reititetään automaattisesti yhteyden käyttökelpoiseen tunneliin.

Laitteistotason VPN

Yksi yksityinen virtuaaliyhdyskäytävä, kaksi asiakkaan yhdyskäytävää, kaksi VPN-tunnelia kummastakin asiakkaan yhdyskäytävästä

Jokaisessa VPN-yhteydessä on kaksi tunnelia, jotta yhteys voitaisiin varmistaa myös tilanteissa, joissa toinen tunneli ei ole käytettävissä. Voit varautua paremmin yhteyksien katkeamiseen määrittämällä VPC:hen toisen VPN-yhteyden toista asiakkaan yhdyskäytävää käyttäen. Vikasietoisia VPN-yhteyksiä ja asiakkaan yhdyskäytäviä käytettäessä ylläpitotoiminnot on helpompi suorittaa toisessa asiakkaan yhdyskäytävässä, kun liikenne hoidetaan toisen asiakkaan yhdyskäytävän kautta.

Toisen VPN-yhteyden asiakkaan yhdyskäytävän IP-osoite pitää olla julkisesti saavutettavissa ja se ei voi olla sama kuin ensimmäisen VPN-yhteyden IP-osoite.

Lisätietoja VPN-yhteyden vaatimuksista on artikkelissa Mitä tarvitaan VPN-yhteyden luomiseen?

Vikasietoiset laitteistotason VPN-yhteydet

VPN-parametrit

AWS määrittää seuraavat parametrit, ja niitä ei voi muuttaa.  Kaikissa tunneleissa pitää noudattaa näitä parametreja.

Phase I Proposal

AES-128-SHA1

TAI

AES-256-SHA2

Phase I Lifetime (sec)

28800

Diffe-Hellman Group

Vaihe I: 2, 14–18, 22, 23 ja 24

Vaihe II: 1, 2, 5, 14–18, 22, 23 ja 24

PFS (Yes/No)

Kyllä

Mode (Main/Aggressive)

Main

Phase II Proposal

AES-128-SHA1

TAI

AES-256-SHA2

Phase II Lifetime (sec)

3600

Encapsulation

ESP

Palomuurisäännöt

Toimita ACL-sääntöjen luettelo määrittääksesi sekä lähtevän että saapuvan liikenteen, joka liikkuu VPN-tunnelissa. Varmista, että määrität kaikki säännöt molempiin suuntiin:

Source IP: kaikki asiakkaan organisaation sisäiset IP-osoitteet
Destination: asiakkaan Creative Cloud for enterprise hallinnoiduilla palveluilla -esiintymä
Protocol: HTTPS
Port: 443

Adoben tarvitsemat tiedot

  • Haluttu aliverkko (suositus: /27 tai enemmän)
  • Asiakkaan yhdyskäytävän (VPN-laitteen) IP-osoite
  • Reititysvaihtoehto (dynaaminen tai staattinen)
    • jos dynaaminen, määritä BGP ASN (katso lisätietoja kohdasta [1])
    • jos staattinen, määritä salauksen toimialue (reitittää takaisin asiakkaan verkkoon)
  • VPN-laitteen valmistaja (katso luettelo VPN-valmistajista ja -laitteista kohdasta [2])
  • VPN-laitteen malli, esimerkiksi ASA5850
  • VPN-laitteen laiteohjelmiston versio, esimerkiksi iOS 12.x

[1] BGP-laitteita käytettäessä staattisia reittejä ei tarvitse määrittää, koska laite lähettää tiedot reiteistään yksityiseen virtuaaliyhdyskäytävään. Jos laite ei tue BGP:tä, valitse staattinen reititys ja syötä verkkosi reitit (IP-etuliitteet). Vain yksityisen virtuaaliyhdyskäytävän tuntemat IP-etuliitteet voivat vastaanottaa liikennettä VPC:stä.

[2] http://aws.amazon.com/vpc/faqs/#C9

Lisensoitu Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License -lisenssin mukaan.  Creative Commons -lisenssien ehdot eivät koske Twitter™- ja Facebook-viestejä.

Lakisääteiset ilmoitukset   |   Online-tietosuojakäytäntö