¿Qué es AWS Client VPN? - AWS Client VPN

¿Qué es AWS Client VPN?

AWS Client VPN es un servicio de VPN administrado basado en el cliente que le permite acceder de forma segura a los recursos de AWS y los recursos de la red en las instalaciones. Con Client VPN, puede acceder a los recursos desde cualquier ubicación utilizando un cliente de VPN basado en OpenVPN.

Características de Client VPN

Client VPN cuenta con las siguientes características y funcionalidades:

  • Conexiones seguras: proporciona una conexión TLS segura desde cualquier ubicación mediante el cliente de OpenVPN.

  • Servicio administrado: es un servicio administrado por AWS, por lo que elimina la carga operativa que supone la implementación y la administración de una solución de VPN de acceso remoto de terceros.

  • Alta disponibilidad y elasticidad: se escala automáticamente al número de usuarios que se conectan a los recursos de AWS y a los recursos en las instalaciones.

  • Autenticación: admite la autenticación del cliente a través Active Directory, la autenticación federada y la autenticación basada en certificados.

  • Control más preciso: permite implementar controles de seguridad personalizados a través de reglas de acceso basadas en red. Estas reglas se pueden configurar en la granularidad de los grupos de Active Directory. También puede implementar el control de acceso mediante el uso de grupos de seguridad.

  • Facilidad de uso: le permite obtener acceso a los recursos de AWS y los recursos en las instalaciones a través de un único túnel de VPN.

  • Facilidad de administración: permite ver los registros de conexión, que contienen información detallada sobre los intentos de conexión del cliente. También puede administrar conexiones de clientes activas y posee la capacidad de terminar las conexiones de clientes activas.

  • Integración profunda: se integra a los servicios de AWS existentes, como AWS Directory Service y Amazon VPC.

Componentes de Client VPN

Estos son los conceptos clave de Client VPN:

Punto de enlace de Client VPN

El punto de enlace de Client VPN es el recurso que usted crea y configura para activar y administrar sesiones de Client VPN. Es el recurso en el que se terminan todas las sesiones de VPN de cliente.

Red de destino

Una red de destino es la red que se asocia a un punto de enlace de Client VPN. Una subred de una VPC es una red de destino. La asociación de una subred con un punto de enlace de Client VPN le permite establecer las sesiones de VPN. Puede asociar varias subredes con un punto de enlace de Client VPN para disfrutar de una alta disponibilidad. Todas las subredes deben ser de la misma VPC. Cada subred debe pertenecer a una zona de disponibilidad diferente.

Ruta

Cada punto de enlace de Client VPN tiene una tabla de ruta que describe las rutas de la red de destino disponibles. Cada ruta de la tabla de enrutamiento especifica la ruta del tráfico a recursos o redes específicos.

Reglas de autorización

Una regla de autorización restringe los usuarios que pueden obtener acceso a una red. Para una red especificada, se configura el grupo de proveedor de identidades (IdP) o de Active Directory al que se permite el acceso. Solo los usuarios que pertenezcan a este grupo pueden obtener acceso a la red especificada. De forma predeterminada, no hay reglas de autorización, por lo que debe configurarlas para permitir que los usuarios obtengan acceso a los recursos y redes.

Cliente

Usuario final que se conecta al punto de enlace de Client VPN para establecer una sesión de VPN. Los usuarios finales tienen que descargar un cliente OpenVPN y utilizar el archivo de configuración de la VPN de cliente que creó para establecer una sesión de VPN.

Rango de CIDR del cliente

Un rango de direcciones IP desde el que asignar direcciones IP del cliente. A cada conexión con el punto de enlace de Client VPN se le asigna una dirección IP única del intervalo CIDR del cliente. Puede elegir el rango de CIDR del cliente, por ejemplo, 10.2.0.0/16.

Puertos de Client VPN

AWS Client VPN admite los puertos 443 y 1194 para tanto TCP como UDP. El valor predeterminado es el puerto 443.

Interfaces de red de Client VPN

Cuando asocia una subred con el punto de enlace de Client VPN, se crean interfaces de red de Client VPN en esa subred. El tráfico que se envía a la VPC desde el punto de enlace de Client VPN se envía a través de una interfaz de red de Client VPN. A continuación, se aplica la traducción de direcciones de red de origen (SNAT), donde la dirección IP de origen del intervalo CIDR del cliente se traduce en la dirección IP de la interfaz de red de Client VPN.

Registro de conexión

Puede activar los registros de conexión en el punto de enlace de Client VPN para que los eventos de conexión queden registrados. Esta información puede resultar útil para ejecutar análisis forenses, analizar cómo se está utilizando el punto de enlace de Client VPN o depurar problemas de conexión.

Portal de autoservicio

Client VPN proporciona un portal de autoservicio como página web para que los usuarios finales descarguen la versión más reciente de AWS VPN Desktop Client y del archivo de configuración del punto de enlace de Client VPN, que contiene la configuración necesaria con el fin de conectarse al punto de enlace. El administrador del punto de enlace de Client VPN puede habilitar o desactivar un portal de autoservicio para el punto de enlace de Client VPN. El portal de autoservicio es un servicio global respaldado por pilas de servicios en las regiones de Asia Pacífico (Tokio), EE. UU. Este (Norte de Virginia) y Europa (Irlanda) y en AWS GovCloud (EE. UU. Oeste).

Uso de Client VPN

Puede utilizar Client VPN de cualquiera de las siguientes formas:

Consola de Amazon VPC

La consola de Amazon VPC proporciona una interfaz de usuario basada en Web para Client VPN. Si ya se registró para una cuenta de AWS, puede iniciar sesión en la consola de Amazon VPC y seleccionar “Client VPN” en el panel de navegación.

AWS Command Line Interface (CLI)

La AWS CLI proporciona acceso directo a las API públicas de Client VPN. Es compatible con Windows, macOS y Linux. Para obtener más información acerca de cómo empezar a trabajar con AWS CLI, consulte la Guía del usuario de AWS Command Line Interface. Para obtener más información acerca de los comandos de Client VPN, consulte la Referencia de comandos de la AWS CLI.

AWS Tools for Windows PowerShell

AWS proporciona comandos para un amplio conjunto de ofertas de AWS para los usuarios que utilizan scripts en el entorno de PowerShell. Para obtener más información acerca de cómo empezar a trabajar con AWS Tools for Windows PowerShell, consulte la Guía del usuario de AWS Tools for Windows PowerShell. Para obtener más información acerca de los cmdlets de Client VPN, consulte la Referencia de Cmdlet de AWS Tools for Windows PowerShell.

API de consulta

La API de consulta HTTPS de Client VPN proporciona acceso mediante programación a Client VPN y AWS. La API de consulta HTTPS le permite emitir solicitudes HTTPS directamente al servicio. Cuando use la API HTTPS, debe incluir código para firmar digitalmente las solicitudes utilizando sus credenciales. Para obtener más información, consulte las acciones de AWS Client VPN.

Limitaciones y reglas de Client VPN

Client VPN tiene las siguientes reglas y limitaciones:

  • Los intervalos CIDR del cliente no pueden solaparse con el CIDR local de la VPC donde se encuentra la subred asociada ni con ninguna ruta que se haya agregado manualmente a la tabla de enrutamiento del punto de enlace de Client VPN.

  • Los rangos de CIDR del cliente deben tener un tamaño de bloque de al menos /22 y no tienen que ser superiores a /12.

  • Una parte de las direcciones del intervalo CIDR del cliente se utiliza para permitir el modelo de disponibilidad del punto de enlace de Client VPN y no se puede asignar a los clientes. Por lo tanto, es recomendable que asigne un bloque de CIDR que contenga el doble de direcciones IP de las necesarias para permitir el máximo número de conexiones simultáneas que tenga previsto admitir en el punto de enlace de Client VPN.

  • El intervalo CIDR del cliente no se puede cambiar después de crear el punto de enlace de Client VPN.

  • Las subredes asociadas a un punto de enlace de Client VPN deben estar en la misma VPC.

  • No puede asociar varias subredes de la misma zona de disponibilidad con un punto de enlace de Client VPN.

  • Los puntos de enlace de Client VPN no admiten asociaciones de subredes en una VPC con tenencia dedicada.

  • Client VPN solo admite el tráfico IPv4. Consulte Consideraciones sobre IPv6 para obtener más detalles sobre IPv6.

  • Client VPN no cumple los requisitos del estándar federal de procesamiento de información (FIPS).

  • Si la Multi-Factor Authentication (MFA) está deshabilitada para Active Directory, las contraseñas de usuario no pueden tener el siguiente formato.

    SCRV1:<base64_encoded_string>:<base64_encoded_string>
  • El portal de autoservicio no está disponible para los clientes que utilizan la autenticación mutua.

  • No se recomienda conectarse al punto de enlace de Client VPN mediante direcciones IP. Como Client VPN es un servicio administrado, ocasionalmente verá las direcciones IP que el nombre de DNS resuelve cambiar. Además, también verá las interfaces de red de Client VPN eliminadas y recreadas en sus registros de CloudTrail, que es el comportamiento esperado. Se recomienda conectarse al punto de enlace de Client VPN utilizando el nombre de DNS proporcionado.

Precios de Client VPN

Cada asociación activa de cada punto de enlace de Client VPN se cobrará por horas. La facturación se prorratea por hora.

Se le facturará por cada conexión de VPN de cliente por hora. La facturación se prorratea por hora.

Para obtener más información, consulte los precios de AWS Client VPN.

Si activa el registro de conexiones en el punto de enlace de Client VPN, debe crear un grupo de registros de CloudWatch Logs en la cuenta. Se aplican cargos por el uso de grupos de registro. Para obtener más información, consulte los precios de Amazon CloudWatch.

Si activa el controlador de la conexión del cliente en el punto de enlace de Client VPN, debe crear e invocar una función Lambda. Se aplicarán cargos por invocar funciones de Lambda. Para obtener más información, consulte Precios de AWS Lambda.