Protección del entorno con el servidor VPN
Un servidor VPN cliente-sitio puede ayudarle a proteger su entorno y cumplir los requisitos de conformidad.
Utilización de grupos de seguridad y ACL para la protección de límites
Los servidores VPN dan soporte a la integración con grupos de seguridad de VPC y Listas de control de acceso (ACL). Para obtener más información, consulte Acerca de los grupos de seguridad y Configuración de las ACL de red.
Para proteger el entorno de una comunicación inesperada o no autorizada, configure las reglas de ACL y de grupo de seguridad para denegar todo el tráfico de forma predeterminada y permitir solo los protocolos, los CIDR o los puertos esperados.
La Configuración de grupos de seguridad y ACL para su uso con VPN proporciona ejemplos de reglas necesarias para que el servidor VPN funcione correctamente. Puede utilizar
reglas adicionales para restringir el acceso con un puerto de servidor VPN a redes específicas en lugar de Any
o 0.0.0.0/0
.
Control de acceso con autenticación de cliente VPN
Los servidores VPN de cliente a sitio dan soporte a la autenticación de certificados y la autenticación de usuario/código de acceso. Consulte Configuración de la autenticación de cliente a sitio y Autenticación de cliente de VPN para obtener más información sobre la configuración necesaria con cada método.
Puede utilizar ambos métodos de autenticación juntos para autenticar el acceso de cliente. Utilice las siguientes directrices para obtener los mejores resultados.
Autenticación con un nombre de usuario/código de acceso
Para autenticarse con un nombre de usuario o código de acceso, tenga en cuenta lo siguiente:
- Esta opción requiere que los usuarios del cliente de VPN se autentiquen previamente con el método MFA deseado para que se pueda adquirir y utilizar un código de acceso válido para una conexión VPN. Se puede configurar en la sección de Autenticación de IAM (Gestionar > Acceso (IAM) > Valores > Autenticación). Para obtener más información, consulte Habilitación de la autenticación de multifactores.
- La autenticación de nombre de usuario/contraseña requiere que un usuario tenga el rol de usuario de servidor VPN de IAM. Para obtener más información, consulte Creación de un grupo de acceso de IAM y concesión del rol para conectarse al servidor VPN. Debe configurar grupos de acceso de IAM políticas de acceso para habilitar este rol solo para los usuarios que requieren el acceso VPN.
Autenticación con certificados de cliente
Para autenticarse con certificados de cliente, tenga en cuenta lo siguiente:
- Utilice certificados de cliente exclusivos. La configuración del servidor VPN de la autenticación de certificados de cliente requiere un certificado de cliente como entrada. Sin embargo, se pueden crear por separado certificados de cliente exclusivos firmados por la misma entidad emisora de certificados (CA) y utilizarse para usuarios diferentes.
- Utilice una Lista de revocación de certificados (CRL) para revocar los certificados de cliente. Los servidores VPN de cliente a sitio dan soporte a CRL para revocar los certificados de cliente. Para obtener más información, consulte Creación de un servidor VPN.
- No utilice un certificado de cliente firmado con una CA pública, como los certificados LetsEncrypt creados a través de Secrets Manager. La utilización de certificados de cliente firmados con una CA pública significa que cualquier persona puede suministrar un certificado de cliente y autenticarse correctamente. Además, los certificados que se crean con una CA pública no se pueden rastrear y revocar fácilmente con una CRL.
Configuraciones de servidores VPN adicionales
Los servidores VPN de cliente a sitio dan soporte a una serie de opciones adicionales que puede configurar para mejorar la seguridad y cumplir los requisitos de conformidad. Para obtener más información, consulte Creación de un servidor VPN y Consideraciones de planificación para servidores VPN.
Debe tener en cuenta las siguientes cuestiones con las configuraciones de servidor VPN:
- Los servidores VPN dan soporte al tiempo de espera de inactividad del cliente. De forma predeterminada, una conexión de cliente VPN se desconecta después de 10 minutos sin tráfico activo. Puede editar el tiempo de espera para añadir el valor que desee.
- Habilite la modalidad de túnel completo en los servidores VPN. La modalidad de túnel completo es más segura y es la preferida, especialmente si se conecta desde una red no fiable. En modalidad de túnel completo, todo el tráfico desde un cliente VPN se direcciona al servidor VPN.
- Configure el protocolo de transporte y los puertos VPN. En algunos casos, es posible que no desee dejar abiertos puertos conocidos como, por ejemplo, TCP/443. Edite esta opción para utilizar un protocolo de transporte no predeterminado y puertos VPN.
- Configure Activity Tracker para recibir y analizar los registros del servidor VPN. Para obtener más información, consulte Activity Tracker.