Comment restreindre l'accès à certains sous-réseaux sur une connexion VPN?

0

Supposons une connexion entre le centre de données (DC) sur site et le cloud privé virtuel (VPC), via une passerelle privée virtuelle (VGW) sur un VPN.

Maintenant, une personne assise sur le contrôleur de domaine sur site pourra-t-elle accéder à tous les sous-réseaux du VPC via VGW?

J'ai quelques sous-réseaux dans le VPC auxquels je ne veux pas qu'il accède. Alors, comment vais-je le restreindre? Des idées?

amazon-web-services Vishnu Vivek
la source
quel logiciel VPN impliqué dans l'infrastructure? Parce que dépend de cela la possibilité de changement. Avez-vous la possibilité d'utiliser un pare-feu?
AtomiX84
@ AtomiX84 Je parle en fait du VPN de AWG vers la passerelle client fourni par AWS. Avec le routage BGP sur IPSec pour être exact.
Vishnu Vivek

Réponses:

0

Vous obtenez cette configuration disponible sur AWS:

https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html

cela semble être le bon pour votre objectif s'appelle: AWS VPN CloudHub

Voici une brève description du design disponible:

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPN_CloudHub.html

Il semble qu'AWS vous permette de créer différents VGW pour différents sous-réseaux, je pense donc que vous devez créer un nouveau point VGW uniquement pour le sous-réseau auquel vous souhaitez donner on-premises DC

AtomiX84
la source
Nous avons le même VGW connecté à plusieurs passerelles client via VPN. Oui, nous utilisons la conception VPN CloudHub. Mais je ne trouve pas l'utilisation de l'ajout d'un autre VGW car le contrôle d'accès n'est pas possible dans VGW. Le contrôle d'accès n'est possible que dans les ACL réseau situées au niveau du sous-réseau. Maintenant, je peux restreindre son accès en utilisant des N'ACL, mais le seul inconvénient est que nous avons 15 N'ACL associés à plus de 25 sous-réseaux, et je dois ajouter des restrictions entrantes / sortantes à chacun des 15 d'entre eux. Je m'attendais à ce qu'il y ait un moyen idéal de le faire.
Vishnu Vivek
Oui, je comprends ce que vous dites et, selon ce que vous payez comme client du service AWS, si ce n'est déjà fait, contactez le support technique du service AWS pour vous aider à trouver une solution.
AtomiX84