O que é o AWS Client VPN? - AWS Client VPN

O que é o AWS Client VPN?

O AWS Client VPN é um serviço de VPN gerenciado no cliente que protege o acesso aos recursos da AWS na sua rede local. Com o Client VPN, você pode acessar seus recursos de qualquer local usando um cliente de VPN com base no OpenVPN.

Recursos do Client VPN

O Client VPN oferece os seguintes recursos e funcionalidades:

  • Conexões seguras — ele fornece uma conexão TLS segura de qualquer local usando o cliente OpenVPN.

  • Serviço gerenciado— É um serviço gerenciado da AWS e, como tal, remove o peso operacional da implantação e do gerenciamento de uma solução de VPN com acesso remoto de terceiros.

  • Altamente disponível e elástico — é escalado automaticamente para o número de usuários que se conectam aos seus recursos da AWS e aos recursos no local.

  • Autenticação — oferece suporte para autenticação de cliente usando o Active Directory, a autenticação federada e a autenticação baseada em certificado.

  • Controle granular — permite implementar controles de segurança personalizados definindo regras de acesso baseadas na rede. Essas regras podem ser configuradas na granularidade dos grupos do Active Directory. Você também pode implementar o controle de acesso usando grupos de segurança.

  • Facilidade de uso — Permite que você acesse seus recursos da AWS e recursos locais usando um único túnel VPN.

  • Capacidade de gerenciamento — Permite que você visualize logs de conexão, que fornecem detalhes sobre tentativas de conexão de clientes. Você também pode gerenciar conexões de clientes ativas, com a capacidade de encerrá-las.

  • Integração profunda — Integra-se aos serviços da AWS existentes, incluindo o AWS Directory Service e o Amazon VPC.

Componentes do Client VPN

Veja a seguir os conceitos-chave do Client VPN:

Endpoint do Client VPN

O endpoint do Client VPN é o recurso que você cria e configura para habilitar e gerenciar sessões de VPN de clientes. Ele é o recurso no qual todas as sessões de VPN de cliente são encerradas.

Rede de destino

Uma rede de destino é a rede que você associa a um endpoint do Client VPN. Uma sub-rede de uma VPC é uma rede de destino. Associar uma sub-rede a um endpoint do Client VPN permite estabelecer sessões de VPN. Você pode associar várias sub-redes a um endpoint Client VPN para alta disponibilidade. Todas as sub-redes devem ser provenientes da mesma VPC. Cada sub-rede deve pertencer a uma Zona de disponibilidade diferente.

Rota

Cada endpoint do Client VPN tem uma tabela de rotas que descreve as rotas de redes de destino disponíveis. Cada rota na tabela de rotas especifica o caminho do tráfego para recursos ou redes específicos.

Regras de autorização

Uma regra de autorização restringe os usuários que podem acessar uma rede. Para uma rede especificada, configure o grupo do provedor de identidade (IdP) ou do Active Directory que tem permissão de acesso. Somente os usuários pertencentes a esse grupo podem acessar a rede especificada. Por padrão, não há regras de autorização, e você deve configurá-las para permitir que os usuários acessem recursos e redes.

Cliente

O usuário final que se conecta ao endpoint do Client VPN para estabelecer uma sessão de VPN. Para estabelecerem uma sessão de VPN, os usuários finais precisam fazer download de um cliente OpenVPN e usar o arquivo de configuração do Client VPN que você criou.

Intervalo CIDR do cliente

Um intervalo de endereços IP do qual devem ser atribuídos endereços IP do cliente. Cada conexão com o endpoint do Client VPN recebe um endereço IP exclusivo do intervalo CIDR do cliente. Você escolhe o intervalo CIDR do cliente, por exemplo, 10.2.0.0/16.

Portas VPN do cliente

O AWS Client VPN é compatível com as portas 443 e 1194 para TCP e UDP. O padrão é a porta 443.

Interfaces de rede do Client VPN

Quando você associa uma sub-rede ao endpoint do Client VPN, criamos interfaces de rede do Client VPN nessa sub-rede. O tráfego enviado para a VPC do endpoint do Client VPN é enviado por meio de uma interface de rede do Client VPN. A conversão de endereço de rede de origem (SNAT) é aplicada e o endereço IP de origem do intervalo CIDR do cliente é convertido no endereço IP da interface de rede do Client VPN.

Registro em log de conexão

Você pode habilitar o registro em log de conexão para o endpoint do Client VPN a fim de registrar eventos de conexão. Você pode usar essas informações para executar perícia, analisar como seu endpoint do Client VPN está sendo usado ou depurar problemas de conexão.

Trabalho com o Client VPN

Você pode trabalhar com o Client VPN de qualquer uma das seguintes formas:

Console do Amazon VPC

O console do Amazon VPC fornece uma interface de usuário baseada na web para o Client VPN. Se você estiver cadastrado para uma conta da AWS, poderá fazer login no console da Amazon VPC e selecionar Client VPN no painel de navegação.

AWS Command Line Interface (&CLI)

A AWS CLI fornece acesso direto às APIs públicas do Client VPN. É compatível com Windows, macOS e Linux. Para obter mais informações sobre os conceitos básicos da AWS CLI, consulte o Guia do usuário do AWS Command Line Interface. Para mais informações sobre os comandos do Client VPN, consulte AWS CLI Command Reference.

AWS Tools para Windows PowerShell

A AWS fornece comandos para um amplo conjunto de ofertas da AWS voltadas a usuários que desenvolvem scripts no ambiente do PowerShell. Para obter mais informações sobre os conceitos básicos do AWS Tools para Windows PowerShell, consulte o Guia do usuário do AWS Tools para Windows PowerShell. Para obter mais informações sobre os cmdlets do Client VPN, consulte a Referência de cmdlets do AWS Tools para Windows PowerShell.

API de consulta

A API de consulta HTTPS do Client VPN proporciona acesso programático ao Client VPN e à AWS. A API de consulta HTTPS permite que você execute solicitações HTTPS diretamente para o serviço. Quando você usa a API HTTPS, deve incluir código para assinar digitalmente solicitações usando suas credenciais. Para mais informações, consulte a Referência da API do Client VPN.

Limitações e regras do Client VPN

O Client VPN tem as seguintes regras e limitações:

  • Os intervalos CIDR de cliente não podem se sobrepor ao CIDR local da VPC na qual a sub-rede associada está localizada ou a quaisquer rotas adicionadas manualmente à tabela de rotas do endpoint do Client VPN.

  • Os intervalos de CIDRs do cliente devem ter um tamanho de bloco de pelo menos /22 e não deve ser maior que /12.

  • Uma parte dos endereços no intervalo e CIDRs do cliente é usada para oferecer suporte ao modelo de disponibilidade do endpoint do Client VPN e não pode ser atribuída aos clientes. Portanto, é recomendável atribuir um bloco CIDR que contenha o dobro do número de endereços IP necessários para habilitar o número máximo de conexões simultâneas às quais você planeja oferecer suporte no endpoint do Client VPN.

  • O intervalo CIDR do cliente não pode ser alterado depois de criar o endpoint do Client VPN.

  • As sub-redes associadas a um endpoint do Client VPN deve estar na mesma VPC.

  • Você não pode associar várias sub-redes da mesma Zona de disponibilidade a um endpoint do Client VPN.

  • Um Client VPN endpoint não é compatível com associações de sub-rede em uma VPC de locação dedicada.

  • O Client VPN oferece suporte somente para tráfego IPv4.

  • O Client VPN não está em conformidade com o Federal Information Processing Standards (FIPS).

  • Se a autenticação multifator (MFA) estiver desabilitada para o Active Directory, uma senha de usuário não poderá estar no seguinte formato.

    SCRV1:<base64_encoded_string>:<base64_encoded_string>

Definição de preços do Client VPN

Você é cobrado por cada associação ativa por endpoint do Client VPN de hora em hora. O faturamento é proporcional à hora.

Você será cobrado por cada conexão VPN de cliente por hora. O faturamento é proporcional à hora.

Para obter mais informações, consulte Definição de preço ​do AWS Client VPN.

Se habilitar o registro em log de conexão para seu endpoint do Client VPN, você deverá criar um grupo de logs do CloudWatch Logs em sua conta. Aplicam-se cobranças ao uso de grupos de log. Para obter mais informações, consulte Definição de preços do Amazon CloudWatch.