AWS VPN 功能

為何選擇 AWS VPN?

透過 AWS Site-to-Site VPN、Accelerated Site-to-Site VPN 或 Client VPN 連線安全且私密地存取您的雲端資源。

AWS Site-to-Site VPN 功能

當您將內部部署位置連接至 AWS 雲端時,Accelerated Site-to-Site VPN 會將您的 VPN 流量路由至最靠近的 AWS 節點位置。Accelerated VPN 會縮短網路上共享資料的位置,並改而利用 AWS 全球光纖網路的可靠度和效能,藉此改善您 Site-to-Site VPN 連線的效能。無論是在內部部署或在 AWS 中,要將業務關鍵位置連接至全球網路,Accelerated Site-to-Site VPN 可說是最理想的選擇。同時使用 AWS Site-to-Site VPN 和 AWS Global Accelerator,會產生 VPN 加速的額外費用。

AWS Client VPN 使用 OpenVPN,其利用 TLS 加密控制通道來協商資料通道參數。資料通道以 SSL 為基礎,但增加了其他保護措施 (例如 HMAC、雜湊和 x.509 憑證)。

有了 AWS Site-to-Site VPN,您就可以使用 AWS Direct Connect 建立 容錯移轉和 CloudHub。CloudHub 可讓您的遠端站點相互通訊,而不是只與 VPC 通訊。其可在簡易的輻射式模型上操作,無論是否搭配 VPC 皆可使用此模型。這項設計相當適合擁有多個分公司和現有網路連線能力的客戶,對於不同遠端分公司之間的主要和備份連線能力,這類客戶傾向於實作便利且成本低廉的輻射式模型。

AWS Site-to-Site VPN 提供可自訂的通道選項,包括通道內部 IP 地址、預先共用金鑰和邊界閘道協定自治系統編號 (BGP ASN)。如此一來,您就可以設定多個安全 VPN 通道,以增加您應用程式的頻寬或在停機時提高彈性。此外,可在 AWS Transit Gateway 上搭配使用等價多路徑路由 (ECMP) 和 AWS Site-to-Site VPN,以在多個路徑上增加流量頻寬。

AWS Site-to-Site VPN 支援 NAT 周遊應用程式,因此您可以在路由器後的虛擬網路使用私有 IP 地址,該路由器對於網路擁有單一公有 IP 地址。

私有 IP VPN 提供使用私有 IP 地址透過 Direct Connect (DX) 部署 Site-to-site VPN 連接。藉由此功能,您可以加密內部部署網路和 AWS 之間的 DX 流量,而無需公用 IP 地址,從而同時增強安全性和網路隱私。可以使用 AWS Transit Gateway 部署私有 IP VPN,該閘道允許集中管理客戶的 AWS 虛擬私有雲端 (VPC),並以更安全、私有和可擴展的方式連接到您的內部部署網路。

AWS Site-to-Site VPN 可將指標傳送至 Amazon CloudWatch,為您提供更佳的可見性和監控。Amazon CloudWatch 也能讓您傳送自己的自訂指標,並依您所選速度以任何順序新增資料點。您可以擷取關於這些資料點的統計資料,以作為時間序列資料的順序集。

AWS Client VPN 功能

AWS Client VPN 提供全受管的 VPN 解決方案,只要有網路連線和 OpenVPN 相容的用戶端,即可從任何地方存取此解決方案。其相當有彈性,可自動擴展以符合您的需求。您的使用者可連接至 AWS 和內部部署網路。AWS Client VPN 可無縫整合您現有的 AWS 基礎設施,包括 Amazon VPC 和 AWS Directory Services,因此您不需要變更網路拓撲。

AWS Client VPN 將使用 Active Directory 或憑證進行驗證。Client VPN 可整合連接至您現有內部部署 Active Directory 的 AWS Directory Services,因此您不需要從現有 Active Directory 複寫資料至雲端。使用 Client VPN 的憑證身份驗證可整合 AWS Certificate Manager,以輕鬆佈建、管理和部署憑證。

AWS Client VPN 提供網路身份驗證,因此您可以定義存取控制規則,以根據 Active Directory 群組限制對特定網路的存取。 

AWS Client VPN 使用安全的 TLS VPN 通道協定以為流量進行加密。單一 VPN 通道會在每個 Client VPN 通道端點終止,並供使用者存取所有 AWS 和內部部署資源。

您可以使用 Amazon CloudWatch Logs,從 AWS Client VPN 連線日誌監控、儲存並存取日誌檔。接著,您可以從 CloudWatch Logs 擷取關聯的資料。您可以一方面輕鬆監控、執行鑑識分析並終止特定連線,另一方面則隨時掌握誰對您的網路擁有存取權限。

AWS Client VPN 旨在將裝置連線至您的網路。其允許您從 OpenVPN 型用戶端進行選擇,讓員工可以選擇使用他們自備的裝置,包括 Windows、Mac、iOS、Android 和 Linux。