Funktionen von AWS VPN

Wenn Sie einen lokalen Standort mit der AWS-Cloud verbinden, leitet Accelerated Site-to-Site VPN den VPN-Datenverkehr an den nächstgelegenen AWS-Edge-Standort weiter. Das beschleunigte VPN verbessert die Leistung der Site-to-Site VPN-Verbindungen durch Verkürzung der Entfernungen, über die Daten im Internet übertragen werden. Stattdessen wird das zuverlässige und leistungsfähige weltweite Glasfasernetz von AWS genutzt. Accelerated Site-to-Site VPN eignet sich ideal zur Verbindung geschäftskritischer Standorte mit Ihrem globalen Netzwerk, sowohl lokal als auch in AWS. Für die VPN-Beschleunigung fallen zusätzliche Gebühren durch die Nutzung von AWS Site-to-Site VPN und AWS Global Accelerator an.

AWS Client VPN nutzt OpenVPN, das einen TLS-verschlüsselten Kontrollkanal verwendet, um die Datenkanalparameter zu auszuhandeln. Der Datenkanal ist auf SSL-Basis, fügt aber zusätzliche Schutzmaßnahmen hinzu (beispielsweise HMAC, Hashing und x.509-Zertifikate).

Mithilfe von AWS Site-to-Site VPN können Sie Failover- und CloudHub-Lösungen mit AWS Direct Connect erstellen. CloudHub ermöglicht entfernten Standorten nicht nur die Kommunikation mit der VPC, sondern auch untereinander. Es funktioniert auf der Grundlage eines einfachen Hub-and-Spoke-Modells, das mit oder ohne VPC verwendbar ist. Dieses Design eignet sich für Kunden mit mehreren Zweigstellen und vorhandenen Internetverbindungen, die ein praktisches, potenziell kostengünstiges Hub-and-Spoke-Modell für Primär- oder Backup-Konnektivität zwischen diesen entfernt gelegenen Zweigstellen implementieren möchten.

AWS Site-to-Site VPN bietet individuell anpassbare Tunneloptionen, darunter interne Tunnel-IP-Adressen, Pre-Shared Keys (PSKs, vorher vereinbarte Schlüssel) und Border Gateway Protocol Autonomous System Number (BGP ASN). So können Sie mehrere sichere VPN-Tunnel einrichten, um die Bandbreite für Ihre Anwendungen zu erhöhen oder bei Ausfällen für Ausfallsicherheit zu sorgen. Darüber hinaus steht für AWS Site-to-Site VPN über das AWS Transit Gateway das sogenannte Equal-Cost Multi-Path-Routing (ECMP) zur Verfügung, um die Bandbreite des Datenverkehrs über mehrere Wege zu erhöhen.

AWS Site-to-Site VPN unterstützt NAT-Traversal-Anwendungen, sodass Sie private IP-Adressen in privaten Netzwerken hinter Routern mit einer einzigen öffentlichen IP-Adresse einsetzen können.

VPN bietet die Fähigkeit, Site-to-Site-VPN-Verbindungen über Direct Connect (DX) mithilfe von privaten IP-Adressen bereitzustellen. Mit dieser Funktion können Sie DX-Datenverkehr zwischen ihrem On-Premises-Netzwerk und AWS ohne öffentliche IP-Adressen verschlüsseln und somit die Sicherheit und den Datenschutz des Netzwerks gleichzeitig verbessern. Die private IP-VPN kann mit AWS Transit Gateway bereitgestellt werden. Dadurch können die AWS Virtual Private Clouds (VPC) der Kunden zentral verwaltet werden und Verbindungen zu Ihren On-Premises-Netzwerken auf sicherere, private und skalierbare Weise hergestellt werden.

AWS Site-to-Site VPN kann Metriken an CloudWatch senden, damit Sie bessere Einblicke und Überwachungsmöglichkeiten erhalten. Zudem können Sie mit CloudWatch eigene benutzerdefinierte Metriken senden sowie Datenpunkte in beliebiger Reihenfolge und in der gewünschten Rate hinzufügen. Statistiken zu diesen Datenpunkten lassen sich als geordnete Gruppe von Zeitreihendaten abrufen.

AWS Client VPN bietet eine vollständig verwaltete VPN-Lösung, auf die an jedem Ort mit einer Internetverbindung mit einem OpenVPN-kompatiblen Client zugegriffen werden kann. Sie ist elastisch und lässt sich automatisch entsprechend dem Bedarf skalieren. Die Benutzer können Verbindungen zu AWS- und lokalen Netzwerken herstellen. AWS Client VPN lässt sich nahtlos in Ihre vorhandene AWS-Infrastruktur integrieren, einschließlich Amazon VPC und AWS Directory Services, sodass die Netzwerktopologie unverändert bleiben kann.

Die Authentifizierung in AWS Client VPN erfolgt über Active Directory oder über Zertifikate. Client VPN lässt sich in AWS Directory Services integrieren, die eine Verbindung zu Ihrem vorhandenen lokalen Active Directory herstellen. So müssen Sie keine Daten aus dem bestehenden Active Directory in die Cloud replizieren. Die zertifikatsbasierte Authentifizierung mit Client VPN lässt sich in den AWS Certificate Manager einbinden, um Zertifikate einfach bereitzustellen und zu verwalten.

AWS Client VPN bietet eine netzwerkbasierte Autorisierung, sodass Sie Regeln für die Zugriffskontrolle definieren können, die den Zugriff auf bestimmte Netzwerke basierend auf Active Directory-Gruppen begrenzen. 

AWS Client VPN verschlüsselt den Datenverkehr mit dem sicheren TLS-VPN-Tunnelprotokoll. Ein einzelner VPN-Tunnel endet an jedem Client VPN-Endpunkt und bietet den Benutzern Zugriff auf alle AWS- und lokalen Ressourcen.

Mithilfe von Amazon CloudWatch Logs können Sie Protokolldateien in den Verbindungsprotokollen von AWS Client VPN überwachen, speichern und darauf zugreifen. Anschließend können Sie die zugehörigen Protokolldaten aus CloudWatch Logs abrufen. Sie können mühelos Verbindungen überwachen, forensische Analysen durchführen und bestimmte Verbindungen beenden, während Sie zugleich die Kontrolle darüber behalten, wer Zugriff auf Ihr Netzwerk hat.

AWS Client VPN soll Geräte mit Ihrem Netzwerk verbinden. Sie können damit OpenVPN-basierte Clients auswählen, sodass Ihre Mitarbeiterinnen und Mitarbeiter die Option erhalten, das Gerät ihrer Wahl zu verwenden. Es werden Geräte mit Windows-, Mac-, iOS-, Android- und Linux-Betriebssystemen unterstützt.