O que é VPN do cliente da AWS? - VPN do cliente da AWS

O que é VPN do cliente da AWS?

A VPN do cliente da AWS é um serviço de VPN gerenciado baseado no cliente que protege o acesso aos recursos da AWS e aos recursos na sua rede on-premises. Com o VPN do Cliente, você pode acessar seus recursos de qualquer local usando um cliente de VPN com base no OpenVPN.

Recursos do VPN do Cliente

O VPN do Cliente oferece os seguintes recursos e funcionalidades:

  • Conexões seguras: — fornece uma conexão TLS segura de qualquer local usando o cliente OpenVPN.

  • Serviço gerenciado: é um serviço gerenciado da AWS e, como tal, remove o peso operacional da implantação e do gerenciamento de uma solução de VPN com acesso remoto de terceiros.

  • Altamente disponível e elástico: escala automaticamente para o número de usuários que se conectam aos seus recursos da AWS e aos recursos on-premises.

  • Autenticação: oferece suporte para autenticação de cliente usando o Active Directory, a autenticação federada e a autenticação baseada em certificado.

  • Controle granular: permite implementar controles de segurança personalizados definindo regras de acesso baseadas na rede. Essas regras podem ser configuradas na granularidade dos grupos do Active Directory. Você também pode implementar o controle de acesso usando grupos de segurança.

  • Facilidade de uso: permite que você acesse seus recursos da AWS e recursos on-premises usando um único túnel de VPN.

  • Capacidade de gerenciamento: permite que você visualize logs de conexão, que fornecem detalhes sobre tentativas de conexão de clientes. Você também pode gerenciar conexões de clientes ativas, com a capacidade de encerrá-las.

  • Integração profunda: integra-se aos serviços da AWS existentes, incluindo o AWS Directory Service e a Amazon VPC.

Componentes do VPN do Cliente

Veja a seguir os principais conceitos de VPN do Cliente:

Endpoint do cliente VPN

O endpoint do cliente VPN é o recurso que você cria e configura para habilitar e gerenciar sessões do cliente VPN. É o ponto de término de todas as sessões da VPN do cliente.

Rede de destino

Uma rede de destino é a rede que você associa a um endpoint do cliente VPN. Uma sub-rede de uma VPC é uma rede de destino. Associar uma sub-rede a um endpoint do cliente VPN permite estabelecer sessões de VPN. Você pode associar várias sub-redes a um endpoint do cliente VPN para alta disponibilidade. Todas as sub-redes devem ser provenientes da mesma VPC. Cada sub-rede deve pertencer a uma Zona de disponibilidade diferente.

Rota

Cada endpoint do cliente VPN tem uma tabela de rotas que descreve as rotas de redes de destino disponíveis. Cada rota na tabela de rotas especifica o caminho do tráfego para recursos ou redes específicos.

Regras de autorização

Uma regra de autorização restringe os usuários que podem acessar uma rede. Para uma rede especificada, configure o grupo do provedor de identidade (IdP) ou do Active Directory que tem permissão de acesso. Somente os usuários pertencentes a esse grupo podem acessar a rede especificada. Por padrão, não há regras de autorização, e você deve configurá-las para permitir que os usuários acessem recursos e redes.

Cliente

O usuário final que se conecta ao endpoint do cliente VPN para estabelecer uma sessão de VPN. Para estabelecerem uma sessão de VPN, os usuários finais precisam fazer download de um cliente OpenVPN e usar o arquivo de configuração do VPN do Cliente que você criou.

Intervalo CIDR do cliente

Um intervalo de endereços IP do qual devem ser atribuídos endereços IP do cliente. Cada conexão com o endpoint do cliente VPN recebe um endereço IP exclusivo do intervalo CIDR do cliente. Você escolhe o intervalo CIDR do cliente, por exemplo, 10.2.0.0/16.

Portas VPN do cliente

A VPN do cliente da AWS é compatível com as portas 443 e 1194 para TCP e UDP. O padrão é a porta 443.

Interfaces de rede do VPN do Cliente

Quando você associa uma sub-rede ao endpoint do cliente VPN, criamos interfaces de rede do VPN do Cliente nessa sub-rede. O tráfego enviado para a VPC do endpoint do cliente VPN é enviado por meio de uma interface de rede do VPN do Cliente. A conversão de endereço de rede de origem (SNAT) é aplicada e o endereço IP de origem do intervalo CIDR do cliente é convertido no endereço IP da interface de rede do VPN do Cliente.

Registro em log de conexão

Você pode habilitar o registro em log de conexão para o endpoint do cliente VPN a fim de registrar eventos de conexão. Você pode usar essas informações para executar perícia, analisar como seu endpoint da cliente VPN está sendo usado ou depurar problemas de conexão.

Portal de autoatendimento

Um Cliente VPN fornece um portal de autoatendimento como uma página da Web para que os usuários finais baixem a versão mais recente do AWS VPN Desktop Client e a versão mais recente do arquivo de configuração do endpoint do Cliente VPN, que contém as configurações necessárias para se conectar ao endpoint. O administrador do endpoint do Cliente VPN pode habilitar ou desabilitar o portal de autoatendimento para o endpoint do Cliente VPN. O portal de autoatendimento é um serviço global com suporte de pilhas de serviços nas regiões Ásia-Pacífico (Tóquio), Leste dos EUA (Norte da Virgínia) e Europa (Irlanda) e no AWS GovCloud (EUA-Oeste).

Trabalhar com o Cliente VPN

Você pode trabalhar com o VPN do Cliente de qualquer uma das seguintes formas:

Console da Amazon VPC

O console da Amazon VPC fornece uma interface de usuário baseada na Web para o VPN do Cliente. Se você tiver se registrado para uma conta da AWS, poderá fazer login no console da Amazon VPC e selecionar a cliente VPN no painel de navegação.

AWS Command Line Interface (CLI)

A AWS CLI fornece acesso direto às APIs públicas da cliente VPN. É compatível com Windows, macOS e Linux. Para obter mais informações sobre os conceitos básicos da AWS CLI, consulte o Guia do usuário do AWS Command Line Interface. Para obter mais informações sobre os comandos para a cliente VPN, consulte Referência de comando da AWS CLI.

AWS Tools for Windows PowerShell

A AWS fornece comandos para um amplo conjunto de ofertas da AWS voltadas a usuários que desenvolvem scripts no ambiente do PowerShell. Para obter mais informações sobre os conceitos básicos do AWS Tools for Windows PowerShell, consulte o Guia do usuário do AWS Tools for Windows PowerShell. Para obter mais informações sobre cmdlets para a cliente VPN, consulte Referência de cmdlets do AWS Tools for Windows PowerShell.

API de consulta

A API de consulta HTTPS da cliente VPN proporciona acesso programático à cliente VPN e à AWS. A API de consulta HTTPS permite que você execute solicitações HTTPS diretamente para o serviço. Quando você usa a API HTTPS, deve incluir código para assinar digitalmente solicitações usando suas credenciais. Para obter mais informações, consulte Ações do AWS Client VPN.

Limitações e regras do VPN do Cliente

O VPN do Cliente tem as seguintes regras e limitações:

  • Os intervalos CIDR de cliente não podem se sobrepor ao CIDR local da VPC na qual a sub-rede associada está localizada ou a quaisquer rotas adicionadas manualmente à tabela de rotas do endpoint do cliente VPN.

  • Os intervalos de CIDRs do cliente devem ter um tamanho de bloco de pelo menos /22 e não deve ser maior que /12.

  • Uma parte dos endereços no intervalo de CIDR do cliente é usada para oferecer suporte ao modelo de disponibilidade do endpoint do cliente VPN e não pode ser atribuída aos clientes. Portanto, é recomendável atribuir um bloco CIDR que contenha o dobro do número de endereços IP necessários para habilitar o número máximo de conexões simultâneas às quais você planeja oferecer suporte no endpoint do cliente VPN.

  • O intervalo CIDR do cliente não pode ser alterado depois de criar o endpoint do cliente VPN.

  • As sub-redes associadas a um endpoint do cliente VPN deve estar na mesma VPC.

  • Você não pode associar várias sub-redes da mesma Zona de disponibilidade a um endpoint do cliente VPN.

  • Um endpoint do cliente VPN não é compatível com associações de sub-rede em uma VPC de locação dedicada.

  • O VPN do Cliente é compatível somente com tráfego IPv4. Consulte Considerações sobre IPv6 para obter detalhes sobre o IPv6.

  • O VPN do Cliente não está em conformidade com o FIPS (Federal Information Processing Standards).

  • Se a autenticação multifator (MFA) estiver desabilitada para o Active Directory, uma senha de usuário não poderá estar no seguinte formato.

    SCRV1:<base64_encoded_string>:<base64_encoded_string>
  • O portal de autoatendimento não está disponível para clientes autenticados usando a autenticação mútua.

  • Não é recomendável se conectar ao endpoint da cliente VPN usando endereços IP. Como a cliente VPN é um serviço gerenciado, você ocasionalmente verá os endereços IP que o nome DNS resolve alterar. Além disso, você verá interfaces de rede da cliente VPN excluídas e recriadas nos seus logs do Cloud Trail, bem como esse comportamento é esperado. É recomendável se conectar ao endpoint da cliente VPN usando o nome DNS fornecido.

  • O encaminhamento de IP está desativado atualmente ao usar a aplicação de desktop AWS Client VPN. Ele está desativado desde o lançamento do serviço em 18 de dezembro de 2018, a fim de resolver um problema relatado pelo NIST. Entretanto, entendemos que alguns clientes podem precisar dessa funcionalidade para seus serviços. Embora não tenhamos uma data específica no momento, planejamos habilitar, com segurança, o encaminhamento de IP em uma próxima versão.

Definição de preço para VPN do Cliente

Você é cobrado por cada associação de endpoint e cada conexão VPN por hora. Para obter mais informações, consulte Preço do AWS Client VPN.

Você é cobrado pela transferência de dados do Amazon EC2 para a Internet. Para obter mais informações, consulte a seção Data Transfer (Transferência de dados) na página de definição de preços sob demanda do Amazon EC2.

Se você habilitar o registro em log de conexão para seu endpoint do cliente VPN, será necessário criar um grupo de CloudWatch Logs em sua conta. Aplicam-se cobranças ao uso de grupos de log. Para obter mais informações, consulte Definição de preço do Amazon CloudWatch (em Paid tier [Camada paga], selecione Logs [Registros]).

Se você habilitar o manipulador de conexão do cliente para o endpoint do cliente VPN, será necessário criar e invocar uma função do Lambda. Cobranças são aplicadas ao invocar funções do Lambda. Para obter mais informações, consulte Preço do AWS Lambda.