AWS Site-to-Site VPN

© 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Sigue siendo un mundo híbrido

88% 86%

Empresas tienen Empresas gastan en infraestructura

una estrategia que prioriza la nube en las instalaciones

Source: Gartner Market Trends: Cloud Shift — 2020 Through 2024

© 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
VPN 101

© 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
¿Qué es una Site-to-Site VPN?

Túneles que permiten la transmisión segura de datos entre

dos sitios. El túnel VPN se crea a través del Internet y se cifra
utilizando una serie de algoritmos de cifrado avanzados para
proporcionar confidencialidad de los datos transmitidos entre
los dos sitios. Puede usar claves o certificados previamente
compartidos para autenticación de los pares.

© 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Tipos de VPN en AWS:

1. Client VPN: extremos es un sitio y el otro usuario(s)

2. IPSec Site-to-Site VPN: ambos extremos son sitios. Se
clasifican en base del método para autenticar los puntos
finales del túnel
• Autenticación por PSK
• Autenticación por medio de Certificado (AWS Certificate Manager
Private Certificate Authority)

© 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Cómo funciona IPSec
IPsec implica muchas tecnologías de componentes y métodos de
cifrado
1. El «tráfico interesante» inicia el proceso de IPSec
2. IKE fase 1: IKE autentica los pares de IPSec y negocia las AS de IKE durante
esta fase, configurando un canal seguro para negociar las AS de IPSec en la
fase 2
3. IKE fase 2 (AKA IPSec): IKE negocia los parámetros de AS de IPSec y
configura las AS de IPSec coincidentes en los pares
4. Transferencia de datos: los datos se transfieren entre pares de IPSec en
función de los parámetros y claves de IPSec
*AS = Asociación Segura

© 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Framework de IPsec
Confidencialidad
IPSec
• AES
• ESP
• AH
https://docs.aws.amazon.com/vpn/latest
Integridad Autenticación /s2svpn/VPNTunnels.html
• SHA • PSK
• Certificado

Diffie-Helman
• DH2
DH5
• DH14
• DH…

© 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Framework de IPSec
IPSec Confidencialidad IPSec Confidencialidad
• ESP • AES • ESP • AES
• AH • AH

Integridad Autenticación IKE hace negociación entre los Integridad Autenticación

• SHA • PSK pares de una Asociación Segura
• SHA • PSK
(SA)
Negociación de IKE
Diffie-Helman Diffie-Helman
• DH14 • DH14

Nube de AWS Customer Gateway

(Par/peer 1) (Par/peer 2)
© 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Site-to-Site VPN

© 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Las redes tradicionales son complejas

Datacenter Datacenter Warehouse

Branch office Branch office Branch office

Warehouse Remote worker Remote worker Remote worker Warehouse

© 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Hacia un modelo centrado en la nube

Warehouse

Datacenter Branch office

Remote worker Remote worker

© 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
 Infraestructura global de AWS

© 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Site-to-Site VPN: Gateways

© 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Site-to-Site VPN: IPv4 internas
Ranfo de direcciones IPv4 internas para el túnel VPN: especificar un bloque CIDR de tamaño /30 del
rango 169.254.0.0/16
Los siguientes bloques CIDR están reservados y no se pueden usar:
• 169.254.0.0/30
• 169.254.1.0/30
• 169.254.2.0/30
• 169.254.3.0/30
• 169.254.4.0/30
• 169.254.5.0/30
• 169.254.169.252/30

© 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Site-to-Site VPN: enrutamiento estático

© 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Site-to-Site VPN: enrutamiento dinámico

© 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Site-to-Site VPN
Arquitectura de los 2 túneles por sesión

© 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Site-to-Site VPN
Arquitectura en alta disponibilidad

© 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Site-to-Site VPN: Virtual Private Gateway
AWS Cloud
Punto final de terminación de VPN (IP pública)
Region
Túnel IPSec (1.25 Gbps)
VPC

Virtual private gateway Data center

VPC
Internet
Customer
Virtual private gateway
Gateway

Region
Data center
VPC Internet

Customer
Virtual private gateway
Gateway
VPC

Virtual private gateway

#conexiones = #DCs * #AWS Regiones * #VPCs
© 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Site-to-Site VPN: Transit Gateway
AWS Cloud
Punto final de terminación de VPN (IP pública)
Region
Túnel IPSec (1.25 Gbps)
VPC ECMP 2.5 Gbps por conexión de VPN

Data center

VPC
Internet
AWS Customer
Transit Gateway Gateway

Region
Data center
VPC Internet

Customer
Gateway
VPC
AWS
Transit Gateway
#conexiones = #DCs * #AWS Regiones
© 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Connectivity using Accelerated AWS S2S VPN
AWS Cloud AWS
Backbone Punto final de terminación de VPN (IP pública)
Region
AS n Autonomous System
VPC
Data center

ISP 1
VPC
Customer
AWS Gateway
Transit Gateway

Region
AWS Global
VPC Accelerator

Data center

ISP 2
VPC
Customer
AWS Gateway
Transit Gateway Anycast IPs

© 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
• VPN con Virtrual Private • VPN con Transit Gateway
Gateway
• Varias VPC
• 1:1 VPC • Rendimiento máximo
• Rendimiento máximo Número de túneles x
1.25 Gbps 1.25 Gbps

• No • Aceleración
Aceleración Compatible

• Precio por • Precio por

hora de conexión y hora de conexión y
transferencia de datos de salida transferencia de datos de salida

© 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Ahora capture los registros de la conexión de
AWS Site-to-Site VPN mediante Amazon
CloudWatch
(…) los registros de actividad de túnel Site-to-Site VPN que brindan
detalles sobre la actividad de establecimiento de túneles de seguridad
IP (IPsec), incluidas las negociaciones de Internet Key Exchange (IKE,
intercambio de claves por red) y los mensajes de protocolo Dead Peer
Detection (DPD, detección de pares muertos) (…)

https://aws.amazon.com/es/about-aws/whats-new/2022/08/aws-
site-vpn-connection-logs-amazon-cloudwatch/
Nuevo

© 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Site-to-Site VPN presenta las VPN de IP
privada para mejorar la seguridad y la privacidad
A partir de hoy, AWS Site-to-Site VPN admite la capacidad de
implementar conexiones de VPN IPSec a través de Direct Connect
mediante direcciones IP privadas. Con este cambio, los clientes pueden
cifrar el tráfico DX entre su red local y AWS sin necesidad de
direcciones IP públicas. Esto permite mejorar la seguridad y la
privacidad de la red al mismo tiempo (…)

https://aws.amazon.com/es/about-aws/whats-new/2022/06/aws-
site-vpn-introduces-private-ip-security-privacy/?nc1=h_ls

Nuevo

© 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Pasos para crear un túnel en la consola de AWS

Paso 1: Crear un Customer Gateway en AWS

Paso 2: Crear un Target Gateway (Virtual Private Gateway o Transit
Gateway)
Paso 3: Configurar el enrutamiento
Paso 4: Actualizar los grupos de seguridad
Paso 5: Crear una conexión VPN Site-to-Site
Paso 6: Descargar el archivo de configuración
Paso 7: Configurar el dispositivo de Customer Gateway en el on-
premise

© 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Demo

© 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.