IBM Cloud Docs
Protegendo seu ambiente com o servidor VPN

Protegendo seu ambiente com o servidor VPN

Um servidor VPN cliente-para-site pode ajudá-lo a proteger seu ambiente e atender aos requisitos de conformidade.

Usando grupos de segurança e ACLs para proteção de limite

Os servidores VPN suportam a integração com grupos de segurança VPC e Listas de controle de acesso (ACLs). Para obter mais informações, consulte Sobre grupos de segurança e Configurando ACLs de rede.

Para proteger o seu ambiente contra comunicação inesperada ou não autorizada, configure as regras de sua ACL e grupo de segurança para negar todo o tráfego por padrão e permitir apenas protocolos esperados, CIDRs ou portas. Configurando grupos de segurança e ACLs para uso com VPN fornece exemplos de regras que são necessárias para que o servidor VPN funcione corretamente. É possível usar regras adicionais para restringir o acesso com uma porta do servidor VPN para especificar redes em vez de Any ou 0.0.0.0/0.

Controle de acesso com autenticação de cliente VPN

Servidores VPN de cliente para site suportam autenticação de certificado e autenticação de usuário/senha. Consulte Configurando a autenticação de cliente para site e a autenticação de cliente VPN para obter mais informações sobre a configuração necessária com cada método.

É possível usar ambos os métodos de autenticação juntos para autenticar o acesso do cliente. Use as diretrizes a seguir para obter melhores resultados.

Autenticando com um nome de usuário/senha

Para autenticar com um nome de usuário ou senha, esteja ciente do seguinte:

  • Esta opção requer que os usuários do cliente VPN se autentiquem com o seu método MFA desejado antes que uma senha válida possa ser adquirida e usada para uma conexão VPN. Ela pode ser configurada por meio da seção Autenticação do IAM (Gerenciar > Acesso (IAM) > Configurações > Autenticação). Para obter mais informações, consulte Ativando a autenticação de diversos fatores
  • A autenticação de nome de usuário/senha requer que um usuário tenha a função de usuário do servidor VPN IAM. Para obter mais informações, consulte Criando um grupo de acesso do IAM e concedendo a função para conectar ao servidor VPN. Deve-se configurar grupos de acesso do IAM ou políticas de acesso para ativar essa função apenas para usuários que requerem acesso VPN.

Autenticando com certificados de cliente

Para autenticar com certificados de cliente, esteja ciente do seguinte:

  • Use certificados de cliente exclusivos. A configuração do servidor VPN da autenticação de certificado de cliente requer um certificado cliente como entrada. No entanto, certificados de cliente exclusivos assinados pela mesma Autoridade de Certificação (CA) podem ser criados separadamente e usados para usuários diferentes.
  • Use uma Lista de revocação de certificado (CRL) para revogar certificados de cliente. Servidores VPN do cliente para site suportam CRL para revogar certificados de cliente. Para obter mais informações, consulte Criando um servidor VPN.
  • Não use um certificado de cliente assinado com uma CA pública, como os certificados LetsEncrypt criados por meio do Secrets Manager. Usar certificados de cliente assinados por autoridade de certificação pública significa que qualquer pessoa pode fornecer um certificado de cliente e autenticar com sucesso. Além disso, os certificados que são criados com uma autoridade de certificação pública não podem ser facilmente rastreados e revogados com um CRL.

Configurações adicionais do servidor VPN

Os servidores VPN de cliente para site suportam várias opções adicionais que você pode configurar para a segurança melhorada e para atender aos requisitos de conformidade. Para obter mais informações, consulte Criando um servidor VPN e Considerações sobre planejamento para servidores VPN.

Você deve estar ciente dos problemas a seguir com as configurações do servidor VPN:

  • Servidores VPN suportam tempo limite inativo do cliente. Por padrão, uma conexão de cliente VPN se desconecta após 10 minutos sem tráfego ativo. É possível editar o tempo limite para incluir seu valor necessário.
  • Ativar o modo full-tunnel em servidores VPN. O modo full-tunnel é mais seguro e o preferencial, especialmente se a conexão for feita por meio de uma rede não confiável. No modo full-tunnel, todo o tráfego de um cliente VPN é roteado para o servidor VPN.
  • Configure o protocolo de transporte e as portas VPN. Em alguns casos, você pode não querer deixar as portas bem conhecidas, como a TCP/443, abertas. Edite esta opção para usar um protocolo de transporte não padrão e portas VPN.
  • Configure Activity Tracker para receber e analisar os registros do servidor VPN. Para obter mais informações, consulte Eventos do Activity Tracker.