Si su organización ha adquirido planes de Creative Cloud con servicios gestionados, Adobe establece una instancia dedicada en un centro de datos que se ubica lo más cerca posible de su ubicación física.

Todos los servicios gestionados, incluido el almacenamiento, se ejecutan dentro de una nube privada virtual de Amazon, la Amazon Virtual Private Cloud (VPC), que se puede aislar dentro de una red privada virtual (VPN, por sus siglas en inglés) que un cliente haya definido y que esté dedicada a un solo cliente de empresa. La VPC de Amazon se puede configurar para que se ejecute dentro de la red corporativa de su organización, de forma que cada equipo de la VPC de Amazon esté asignado a una dirección de IP privada. Mediante esta configuración, la VPC de Amazon se conecta a la red corporativa a través del modo túnel de IPSec, de modo que las solicitudes de HTTPS se envían desde la red hasta la VPC de Amazon mediante dicho túnel seguro, en lugar de hacerlo desde Internet.

Para obtener más información, consulte Información general sobre la seguridad de Creative Cloud para empresas.

Establecimiento de una conexión de red privada virtual de hardware

La Virtual Private Cloud (VPC) de Amazon proporciona numerosas opciones de conectividad en red según sus necesidades y el diseño de su red. Puede decidir utilizar Internet o una conexión de Amazon Web Services (AWS) Direct Connect como su red básica. Puede enlazar la conexión bien con AWS o bien con los terminales de red gestionados por el usuario. Con AWS, puede especificar cómo se proporcionará el enrutamiento de red entre la VPC de Amazon y sus redes, ya sea aprovechando el equipo y las rutas de AWS o la red gestionada por el usuario. Solo se puede utilizar un AWS que Adobe haya proporcionado. Este artículo se centra en la opción de conectividad VPN de hardware.

Puede crear una conexión IPSec VPN basada en hardware, en Internet, entre la red remota y la VPC de Amazon.

Ventajas de una conexión IPSec VPN basada en hardware:

  • Los terminales gestionados por AWS incorporan la redundancia de los centros multidatos y la conmutación automática frente a errores.
  • Puede reutilizar el equipo y los procesos de VPN existentes.
  • También puede reutilizar las conexiones a Internet existentes.
  • Se admiten las políticas de enrutamiento e interconexión del protocolo BGP (Border Gateway Protocol) para rutas estáticas o dinámicas.

La puerta de enlace virtual privada o Virtual Private Gateway (VGW) de Amazon representa dos terminales de VPN distintos, ubicados físicamente en distintos centros de datos, que aumentan la disponibilidad de sus conexiones VPN.

Recuerde que existen ciertas limitaciones:

  • La latencia, variabilidad y disponibilidad de la red dependen de las condiciones de Internet.
  • El terminal gestionado por el cliente es responsable de implementar la redundancia y la conmutación automática frente a errores.
  • El dispositivo del cliente debe ser compatible con BGP de un solo salto (en el caso en que se utilice BGP para el enrutamiento dinámico).

Puede optar por un enrutamiento dinámico así como por uno estático. El enrutamiento dinámico utiliza la interconexión de BGP para intercambiar información de enrutamiento entre AWS y los terminales remotos. Ambas conexiones, IPSec y BGP, deben conectar con el mismo dispositivo de puerta de enlace del usuario cuando se utilice BGP.

Componentes de la conexión VPN

  • Puerta de enlace virtual privada: una puerta de enlace virtual y privada que funciona como concentrador de VPN que pertenece a la parte de la conexión de Amazon.
  • Puerta de enlace de cliente: una puerta de enlace de cliente que es un dispositivo físico o una aplicación software que pertenece a su parte de la conexión. Su puerta de enlace de cliente debe iniciar los túneles y no la puerta de enlace virtual privada. Para prevenir que este túnel deje de estar operativo, puede utilizar una herramienta de supervisión de redes que genere notificaciones o “pings” del keepalive.

Opciones de enrutamiento mediante VPN

La marca y el modelo de los dispositivos VPN definen la selección del tipo de enrutamiento. Para obtener una lista de dispositivos de enrutamiento estático y dinámico que se hayan probado con la VPC de Amazon, consulte las Preguntas frecuentes de la Virtual Private Cloud de Amazon.

Con los dispositivos BGP no tiene que especificar las rutas estáticas porque el propio dispositivo muestra sus rutas a la puerta de enlace virtual privada. Para los dispositivos que no sean compatibles con BGP, seleccione un enrutamiento estático e introduzca las rutas (prefijos de IP) de su red. Solo los prefijos de IP que reconozca la puerta de enlace virtual privada pueden recibir tráfico de su VPC.

Opciones de configuración del túnel VPN

Una puerta de enlace virtual privada, una puerta de enlace de cliente: dos túneles VPN

Utilice una conexión VPN para conectar su red a VPC. Todas las conexiones VPN tienen dos túneles con una única dirección IP pública de puerta de enlace virtual privada para cada túnel. Asegúrese de configurar ambos túneles para que admitan la redundancia. Cuando un túnel no está disponible, el tráfico de la red se enruta automáticamente hacia el túnel disponible para esa conexión en particular.

VPN de hardware

Una puerta de enlace privada virtual, dos puertas de enlace de cliente, dos túneles VPN de cada puerta de enlace de cliente

Cada conexión VPN tiene dos túneles para garantizar la conectividad en situaciones en las que uno de los túneles no está disponible. Si quiere mejorar la protección contra la pérdida de conectividad, puede implementar una segunda conexión VPN con su VPC mediante una segunda puerta de enlace de cliente. Gracias a las conexiones VPN y a las puertas de enlace de cliente redundantes, es mucho más fácil realizar operaciones de mantenimiento en una puerta de enlace de cliente mientras que el tráfico fluye a través de la conexión VPN de la segunda puerta de enlace de cliente.

La dirección IP de la puerta de enlace de cliente para la segunda conexión VPN debe ser accesible públicamente y no puede ser la misma que la que corresponde a la primera conexión VPN.

Para obtener más información sobre los requisitos para establecer una conexión VPN, consulte Requisitos para establecer una conexión VPN.

Conexiones redundantes de red privada virtual de hardware

Parámetros VPN

Los siguientes parámetros los dicta AWS y no se pueden cambiar.  Todos los túneles deben adherirse a estos parámetros.

Propuesta de fase I

AES-128-SHA1

O

AES-256-SHA2

Tiempo de vida de fase I (seg)

28800

Diffie-Hellman Group

Fase I: 2, 14-18, 22, 23 y 24

Fase II: 1, 2, 5, 14-18, 22, 23 y 24

PFS (Sí/No)

Modo (Principal/Agresivo)

Principal

Propuesta de fase II

AES-128-SHA1

O

AES-256-SHA2

Tiempo de vida de fase II (seg)

3600

Encapsulación

ESP

Reglas de firewall

Proporciona una lista de reglas ACL que especifica tanto el tráfico de entrada como el de salida que atraviesa el túnel VPN. Asegúrese de incluir en la lista todas las reglas que afecten a las dos direcciones:

Dirección IP de origen: todas las direcciones IP internas del cliente de empresa
Destino: instancia de la nube privada del cliente de Creative Cloud para empresas con servicios gestionados
Protocolo: HTTPS
Puerto: 443

Información que debe proporcionar a Adobe

  • Subred deseada (preferentemente /27 o superior)
  • La dirección IP de la puerta de enlace de cliente (dispositivo VPN)
  • La opción de enrutamiento (dinámico o estático)
    • Si es dinámico, especifique BGP ASN (consulte [1] para obtener más detalles)
    • Si es estático, especifique el dominio de cifrado (se enruta de vuelta a la red del cliente).
  • Fabricante del dispositivo VPN (consulte [2] para ver la lista de fabricantes y dispositivos de soporte VPN)
  • Modelo de dispositivo VPN; por ejemplo, ASA5850
  • Versión del firmware del dispositivo VPN; por ejemplo, IOS 12.x

[1] Con los dispositivos BGP no tiene que especificar las rutas estáticas porque el propio dispositivo muestra sus rutas a la puerta de enlace virtual privada. Para los dispositivos que no sean compatibles con BGP, seleccione un enrutamiento estático e introduzca las rutas (prefijos de IP) de su red. Solo los prefijos de IP que reconozca la puerta de enlace virtual privada pueden recibir tráfico de su VPC.

[2] http://aws.amazon.com/vpc/faqs/#C9

Esta obra está autorizada con arreglo a la licencia de Reconocimiento-NoComercial-CompartirIgual 3.0 Unported de Creative Commons.  Los términos de Creative Commons no cubren las publicaciones en Twitter™ y Facebook.

Avisos legales   |   Política de privacidad en línea