Что такое VPN

Virtual Private Network (VPN) — это специальный сервис, обеспечивающий шифрованный канал связи между частным облаком и сетью организации

Что это такое

Виртуальная частная сеть (VPN) устанавливает зашифрованный интернет-туннель связи между вашей сетью и виртуальным частным облаком (VPC), чтобы вы могли получать удаленный доступ к ресурсам в VPC.

Elastic Cloud Servers (ECS) в VPC не могут обмениваться данными по умолчанию с устройствами в вашем локальном центре обработки данных или в частной сети. Чтобы обеспечить связь между ними, вы можете использовать VPN.

VPN состоит из VPN-шлюза, клиентского шлюза и одного или нескольких VPN-соединений:

• Шлюз VPN обеспечивает выход в Интернет для подключения VPC к клиентскому шлюзу в вашем локальном центре обработки данных.
• VPN-подключение шифруется через Интернет и связывает VPN-шлюз со шлюзом клиента, обеспечивая связь между VPC и вашим локальным центром обработки данных. Это помогает быстро создать безопасную гибридную облачную среду.

VPN-шлюз

VPN-шлюз — это выходной шлюз для VPC. С помощью VPN-шлюза вы можете создать безопасное, надежное и зашифрованное соединение между VPC и локальным центром обработки данных или между двумя VPC в разных регионах. Шлюз VPN работает вместе со шлюзом клиента в вашем локальном центре обработки данных. Поддерживаются VPN-подключения типа «узел-узел» и «сеть».

Клиентский шлюз

Шлюз клиента — это физическое устройство или программное приложение на вашей стороне VPN-подключения. Шлюз клиента — это создаваемый на консоли ресурс, который представляет устройство шлюза клиента и записывает информацию о его конфигурации.

При создании клиентского шлюза необходимо настроить его общедоступный IP-адрес, тип маршрутизации и номер автономной системы (ASN) протокола пограничного шлюза (BGP).

VPN-подключение

VPN-подключение — это безопасный и надежный зашифрованный коммуникационный туннель безопасности Интернет-протокола (IPsec), установленный между VPN-шлюзом и клиентским шлюзом в локальном центре обработки данных. Поддерживаются только IPsec VPN.

VPN-подключения используют протоколы Internet Key Exchange (IKE) и IPsec для экономичного и надежного шифрования данных, передаваемых через Интернет.

Возможности

Virtual Private Network создает безопасные подключения, обеспечивая высокую пропускную способность, резервное копирование данных, простоту использования и управления.

Безопасность, надежность, эластичность и гибкость

Особенности:

• безопасные и надежные соединения IPsec между вашим локальным центром обработки данных и вашим VPC в облаке для обеспечения безопасности и надежности гибридной облачной архитектуры;
• развертывание шлюза «активный-активный», гарантирующее надежность SLA на уровне 99,95 %;
• несколько спецификаций шлюза, обеспечивающих гибкое масштабирование приложений и служб.

Шлюзы Active-Active, высокая пропускная способность и несколько подключений

Свойства:

• поддержка шлюзов «активный-активный» в разных зонах доступности, обеспечивающая высокую доступность на уровне зоны доступности;
• поддержка маршрутизации на основе политик, статической маршрутизации и динамической маршрутизации по вашему выбору;
• пропускная способность и VPN-подключения могут гибко комбинироваться в зависимости от ваших требований к обслуживанию.

Резервное копирование между VPN и прямым подключением

Вы можете использовать ссылку VPN для резервного копирования ссылки Direct Connect. Трафик автоматически переключается на канал VPN в случае сбоя канала прямого подключения.

Работает автоматическая конвергенция динамических маршрутов, обеспечивающая аварийное переключение за секунды и тем самым обеспечивающее непрерывность обслуживания (OBT).

Простота использования и управления

Вы можете приобрести VPN-шлюзы по запросу. Счета за VPN-шлюзы выставляются ежегодно/ежемесячно или по факту использования и вступают в силу сразу после предоставления.

Интуитивно понятный пользовательский интерфейс упрощает настройку и управление VPN-подключениями.

Вы можете подключить свой локальный центр обработки данных к облаку с помощью простой настройки на вашем устройстве VPN.

Какие задачи решает

VPN сервис обеспечивает шифрованное защищенное подключение с высоким уровнем безопасности данных, обеспечивая удобное расширение ресурсов с применением гибридного облака за невысокую цену.

Высокий уровень безопасности данных

Оборудование способно шифровать данные на основе IKE и IPsec, обеспечивая стабильность подключения в VPN с надежностью операторского уровня.

Бесшовное расширение ресурсов

VPN разрешает подключение локальных ЦОД (центров обработки данных) к вашему VPC, что обеспечивает быстрое масштабирование сервисов от ЦОД в облако с созданием гибридного облака.

Доступное соединение

Зашифрованные интернет-соединения IPsec выигрывают по стоимости у соединений Direct Connect.

Удобство применения

Вы можете использовать простое VPN-соединение с указанием параметров консоли и внеся соответствующие настройки в свой ЦОД.

Примеры реализации

Развертывание гибридного облака

Вы можете использовать службу VPN, чтобы подключить свой локальный центр обработки данных к вашему VPC в облаке и увеличить вычислительную мощность вашей сети, используя масштабируемость и эластичность облака.

Преимущества

1. Поддержка гибридного облака. VPN-подключение между вашим центром обработки данных и VPC можно использовать для простого расширения емкости и охвата услуг центра обработки данных.
2. Высокая безопасность и надежность. Зашифрованные VPN-подключения создаются через Интернет для безопасной, надежной и экономичной связи.

Межрегиональное взаимодействие между VPC

С помощью VPN вы можете подключить VPC в разных регионах к общедоступному облаку, чтобы обеспечить поток пользовательских данных и обеспечить постоянную доступность пользовательских услуг в этих регионах.

Преимущества

1. Гибкая сеть. Поддерживаются различные сетевые режимы VPC.
2. Легко использовать. Безопасные и надежные соединения можно легко создавать, они становятся доступны сразу после создания.

Резервное копирование между VPN и прямым подключением

Вы можете подключить свой локальный центр обработки данных к VPC в облаке через Direct Connect и VPN, которые дублируют друг друга, поэтому обеспечивается высокая надежность.

Преимущества

1. Сверхвысокая надежность. Трафик переключается на канал VPN в случае сбоя канала прямого подключения.
2. Быстрое переключение. Трафик можно легко и быстро переключить на канал VPN с высокой пропускной способностью.

AWS VPN у Amazon Web Services

Действия пользователя:

• Подключите свои локальные сети и удаленных сотрудников к облаку.
• Получите безопасный доступ к VPN-клиенту AWS с помощью федеративной и многофакторной аутентификации (MFA).
• Масштабируйте клиентскую VPN вверх или вниз в зависимости от потребностей пользователей с оплатой по факту использования.
• Получите расширенную доступность для AWS Site-to-Site VPN с несколькими глобальными зонами доступности AWS.
• Ускорьте и автоматически перенаправьте трафик Site-to-Site VPN на ближайшую и наиболее работоспособную конечную точку сети.

Клиент AWS VPN используется вашими удаленными сотрудниками для безопасного доступа к ресурсам как в AWS, так и в ваших локальных сетях.

AWS Site-to-Site VPN создает зашифрованные соединения между вашими местоположениями (например, центрами обработки данных и удаленными офисами) и вашими ресурсами AWS.

Сценарии использования

1. Быстрое масштабирование удаленного доступа. Автоматически увеличивайте масштаб, чтобы справиться с пиковым спросом, а затем уменьшайте масштаб, чтобы не платить за неиспользуемые ресурсы.
2. Интеграция с вашими мобильными системами аутентификации. Интегрируйте решения для управления мобильными устройствами (MDM), чтобы отклонять устройства, не соответствующие вашим политикам.
3. Управляйте переносом приложений. Разместите виртуальное частное облако Amazon (VPC) за брандмауэром и легко перемещайте ИТ-ресурсы, не влияя на удобство работы пользователей.
4. Безопасная связь между удаленными пунктами. Используйте соединения Site-to-Site VPN для безопасного обмена данными между удаленными сайтами.

Azure VPN Gateway (VPN-шлюз) у Microsoft Azure

VPN-шлюз обеспечивает отправку зашифрованного трафика между локальным размещением и виртуальной сетью Azure. Его можно использовать для перенаправления зашифрованного трафика внутри виртуальных сетей Azure по сети Microsoft.

Особенность шлюза VPN состоит в том, что для каждой виртуальной сети он может быть только один. При создании нескольких подключений к единому шлюзу VPN все туннели VPN применяют доступную полосу пропускания шлюза.

Преимущества:

• Безопасный доступ к ресурсам, расположенным в облаке. Применяйте VPN-шлюз как VPN класса «сеть-сеть». Обеспечьте безопасное подключение локальных сетей к Azure, открыв доступ сотрудникам к работе в облаке.
• Улучшение производительности. Используя VPN-шлюз как VPN разряда «точка-сеть», вы позволите своим сотрудникам подключаться к виртуальным
• Полное соблюдение требований. Azure располагает всеми необходимыми сертификатами соответствия, чего не скажешь об аналогичных поставщиках облачных служб. Вы можете быть уверенны в выполнении требований вашими сотрудниками при отправке данных с использованием облака.

Cloud VPN у Google Cloud Platform

Cloud VPN безопасно соединяет вашу одноранговую сеть с сетью виртуального частного облака (VPC) через VPN-подключение IPsec. Трафик, проходящий между двумя сетями, шифруется одним VPN-шлюзом, а затем расшифровывается другим VPN-шлюзом. Это действие защищает ваши данные во время их передачи через Интернет. Вы также можете подключить два экземпляра Cloud VPN друг к другу.

Google Cloud предлагает два типа шлюзов Cloud VPN: HA VPN и Classic VPN. Однако некоторые функции Classic VPN устарели.

VPN Gateway у Alibaba Cloud

Сервис VPN Gateway предназначен для передачи шифрованного интернет-трафика между VPC Alibaba Cloud и центрами обработки данных клиентов, корпоративными офисными сетями или веб-сайтами.

При помощи данной службы можно создать безопасное и надежное подключение для отправки данных. Однако законодательные требования Китая запрещают использовать Alibaba Cloud VPN Gateway для частного доступа пользователей в сеть Интернет.

Преимущества сервиса

• Безопасность. Работает с протоколами SSL, IPsec и Internet Key Exchange (IKE) для гарантии надежной и безопасной передачи данных.
• Экономичность. Предоставляет безопасное подключение к глобальной сети для воплощения гибридных облаков и уменьшает расходы сравнительно с выделенными потоками.
• Высокая доступность. Архитектура высокого резерва позволяет осуществлять отказ за пару секунд, обеспечивая постоянство работы и отсутствие простоя.
• Простота применения. VPN Gateway – готовый сервис, поддерживающий гибкую настройку для быстрого подключения.

Сценарии использования

Безопасная передача данных между облаком и локальной средой

Применение данного сценария возможно в случае базирования бизнес-системы как на локальных, так и на облачных центрах обработки данных.

Конструирование абсолютно изолированной вычислительной сети обеспечивает архитектура бизнес-модулей на базе VPC Alibaba Cloud. Облачные и локальные центры обработки данных проводят обмен бизнес-данными посредством интернет-соединения.

Преимущества

• Безопасная передача данных. При обмене данными в изолированных VPC происходит их шифрование с использованием протокола IPsec.
• Архитектура для гибридных облачных вычислений. Применяет определяемые программой сети, что позволяет проводить настройку сети и обеспечивает ее управление. Внесение изменений в службу VPN Gateway моментально приводится в действие.
• Экономичность. VPN-шлюзы применяются для подключения локальных центров обработки данных к облаку, преследуя цель экономии расходов.

Выводы

VPN (Virtual Private Network) – это общее название технологий, способных создать одно или несколько подключений поверх другой сети, к примеру, интернет.

Несмотря на использование в коммуникации сетей с различным уровнем доверия сервисы VPN наделены рядом возможностей, обеспечивающих безопасную передачу данных (шифрование, аутентификация, инфраструктура открытых ключей, защита от повторов и изменений и т.д.).

В зависимости от назначения и применимых протоколов, сервисы VPN создают соединения трех видов: «узел-узел», «узел-сеть» и «сеть-сеть».