Integración con VPN

<< Clic para mostrar Tabla de Contenidos >>

Navegación:  Bizagi Studio Collaboration Services > Suscripción Enterprise > Arquitectura de servicio >

Integración con VPN

Introducción

Con Automation Service o Studio Collaboration Services (SCS) puede integrar sus procesos de negocio con cualquier sistema o aplicación que ofrece un endpoint público.

Si sus sistemas o aplicaciones no ofrecen un punto final público, puede establecer una VPN para permitir el acceso a ellos mientras se asegura de que los datos están cifrados en tránsito.

 

Acerca de la VPN

La VPN está diseñada para fines de integración. Cuando los procesos necesitan llegar a sistemas, servidores, servicios o bases de datos que no están expuestos a través de Internet, la VPN es una forma segura de acceder a esos sistemas.

 

Puede utilizar VPN que se empleará para la integración de aplicaciones, siempre que sus procesos en Automation Service se conecten a cualquiera de estos:

Un servicio web (SOAP, RESTful) que se configura dentro de la red y no ofrece un punto final público.

Un servidor de Directorio Activo (por ejemplo, para el uso de la autenticación LDAP en Bizagi o el módulo de sincronización de usuarios LDAP).

Una base de datos SQL Server que se configura dentro de la red y no ofrece un punto final público.

Un servidor SMTP que está configurado dentro de su red y no ofrece un punto final público.

Otros servicios corporativos, ESBs, o activos, que están configurados dentro de su red y no ofrecen puntos finales públicos.

 

La VPN NO enruta todo el tráfico de todos los servicios basados en la nube. Solo está destinado a las aplicaciones web que necesitan ver (alcanzar) sistemas externos ubicados en las instalaciones. Otro tráfico saliente a sistemas preparados para la nube, como Azure AD, no se enruta a través de la VPN.

 

VPN_01

Debido a que la VPN está diseñada para fines de integración, NO debe considerarse como una medida de seguridad adicional para restringir el acceso a sus entornos de automatización.

 

Lista blanca

Si es necesario, puede solicitar, a través de un ticket de soporte, habilitar una dirección IP, Lista Blanca. Por lo tanto, solo las direcciones IP de la lista pueden acceder a cualquiera de sus portales basados en la nube de Bizagi.

 

Descripción del servicio

Para establecer una VPN entre sus instalaciones y Automation Service o Studio Collaboration Service, necesita adquirir la oferta de servicio VPN.

este servicio incluye:

Configuración inicial.

Bizagi proporciona una guía de configuración para que su departamento de informática la siga.

La guía es específica a su dispositivo VPN.

Pruebas de conectividad para la configuración inicial, para validar que el tráfico fluye adecuadamente a través de la VPN.

Soporte técnico.

 

 

Configuración de tráfico unidireccional

La configuración por de tráfico unidireccional de la VPN establece un canal accesible para la integración de aplicaciones con un grado adicional de seguridad, siempre que los requisitos de integración involucren sistemas que utilizan puertos distintos a HTTPS (como TCP).

 

Esta configuración se utiliza para integraciones en una dirección. Es decir, cuando Bizagi necesita llamar a los sistemas que se encuentran en la infraestructura corporativa del cliente. Lo anterior implica que la VPN no se utiliza para el acceso del usuario final ni para ninguna solicitud entrante. El acceso de los usuarios finales se enruta a través del Internet.

Cloud_VPN_01

Requisitos técnicos de la VPN

Para usar una VPN, se aplican los requisitos técnicos estándar.

Necesita un dispositivo VPN compatible ubicado en las instalaciones, con una dirección IP pública (IPv4) asignada, con capacidades para ser configurado utilizando el protocolo IPsec.

La dirección IP pública debe ser estrictamente IP versión 4 y no debe estar ubicada detrás de un NAT.

Estos son los requisitos relativos a la configuración de la VPN en su extremo. Por parte de Bizagi habrá una configuración VPN correspondiente, proporcionada por la suscripción de Bizagi.

 

Bizagi utiliza la configuración de VPN soportada por Azure, como su laaS.

Por lo tanto, los dispositivos de VPN soportados son los que aparecen en https://docs.microsoft.com/es/azure/vpn-gateway/vpn-gateway-about-vpn-devices.

Asegúrese de que el dispositivo VPN que su organización empleará para este propósito esté soportado y en la lista anterior.

 

Otros requisitos

La creación de una VPN requiere el apoyo de su departamento de informática.

Necesita un experto de su lado para configurar, monitorear y manejar los aspectos de la VPN que dependen de la configuración de su red corporativa.

 

También es importante evaluar cualquier posible impacto en el rendimiento cuando se utiliza una VPN, especialmente para las solicitudes en línea (trabajos no programados), para que pueda determinar si los factores inherentes a la comunicación de la nube a sus instalaciones afectarán significativamente la capacidad de uso de sus aplicaciones.

Una VPN establece una conexión entre dos puntos finales como si estuvieran físicamente cableados, en términos de visibilidad, pero no en términos de rendimiento.

Algunos de los factores inherentes que afectan a la comunicación VPN, que están fuera del control de Automation Service, son: mayor latencia en la transmisión de datos, fluctuaciones, interferencias y congestión que afectan a la velocidad del canal, y la calidad de las redes utilizadas durante la transmisión.

 

Para configurar una VPN, es necesario establecer los rangos de las IP del cliente y de Bizagi que se permitirán dentro de la conexión de la VPN.

 

Próximos pasos

El primer paso para establecer una VPN es ponerse in contacto con su representante de ventas de Bizagi para adquirir el servicio.

Debe proporcionar detalles específicos como su Dirección IP pública y el dispositivo VPN especifico que utiliza para que pueda recibir instrucciones específicas sobre qué hacer a continuación de su lado.

 

Preguntas más frecuentes

Considere las respuestas a estas preguntas típicas:

 

1.¿Qué es una VPN?

Una red privada virtual (VPN) es una tecnología que extiende una red privada a través de una red pública, proporcionando un túnel sobre el canal de comunicación mientras se cifran los datos transmitidos.

En este caso específico, significa extender de forma segura su red corporativa a Automation Service, a través de Internet.

Los datos transmitidos se refieren a los datos intercambiados entre Automation Service y su red corporativa para los requisitos de integración de aplicaciones.

 

2.¿Cuáles son las especificaciones técnicas de la VPN a configurar?

Las siguientes especificaciones son empleadas por la VPN:

Una VPN de sitio a sitio.

Seguridad del Protocolo de Internet (IPsec) con una implementación de Intercambio de Claves de Internet (IKE).

IKE version: 1 / 2 (IKEv1, IKEv2). Versión IKE: 1 / 2 (IKEv1, IKEv2).

Método de autenticación de clave precompartida.

Para la fase #1, parámetro IPsec, los ajustes incluyen:

oSoporte para los algoritmos de encriptación AES256 y AES128 y los algoritmos de hashing SHA1 y SHA256 utilizados para la autenticación.

oUse of DH group 2. Uso del grupo DH 2.

oUna vida útil de la clave (en segundos) de 56600.

Para la fase #2 relativa a los parámetros IPsec, los ajustes incluyen:

oSoporte de configuración para el algoritmo de encripción AES256 y AES128, y los algoritmos hashing SHA1 y SHA256 utilizados para la autenticación.

oUna vida útil de la clave (en segundos) de 7200.

oUn tamaño máximo de segmento de 1350 (clamp TCP MSS).

 

3.¿Cuánto tiempo llevará configurar una VPN?

El tiempo que se tarda en configurar una VPN depende en gran parte de los procedimientos de administración y gobierno del equipo de la informática.

Una VPN requiere que se lleven a cabo ciertas configuraciones en cada uno de los dos puntos finales (uno de ellos está bajo su control y el de su equipo de informática).

La configuración del punto final de la VPN directamente en Automation Service no llevará más de un día laborable, siempre que nos proporcione los detalles que necesitamos para la configuración.

 

4.¿El uso de una VPN proporciona seguridad adicional a los usuarios finales?

El acceso se enruta a través de la Internet pública a través de HTTPS, que ya se encarga de cifrar los datos en tránsito. Las conexiones entrantes pasan a través de la capa de seguridad, que es una medida de seguridad sólida para sus entornos de automatización. Sin embargo, la VPN no está destinada a restringir el acceso a sus entornos. Puede solicitar una configuración de lista blanca, por lo que las direcciones IP se pueden incluir en la lista como las únicas permitidas para acceder a cualquiera de los portales basados en la nube de Bizagi y brindar seguridad adicional.

 

5.¿El uso de una VPN me permite apuntar Automation Service (o cualquier de sus activos subyacentes) desde un sistema local?

No, de manera similar a la pregunta anterior, una VPN permite que Automation Service o Studio Collaboration se dirija a sus sistemas locales.

No al revés.

 

6.¿El uso de una VPN implica un costo adicional?

Sí, si usted elige utilizar una VPN porque sus sistemas no ofrecen un punto final público seguro para propósitos de integración, necesitará adquirir una VPN de Automation Service para que pueda conectar exclusivamente a los recursos de suscripción designados según lo dispuesto por Automation Service.

Para obtener detalles con respecto al costo de la oferta de VPN póngase en contacto con su representante de ventas de Bizagi.

 

7.¿Qué aspectos debo cuidar cuando uso una VPN?

En caso de que su departamento de IT necesite realizar algún cambio en la ubicación de su infraestructura y servidores, red, dispositivo VPN o uno que afecte a una VPN operativa, por favor comuníquenoslo directamente a cloud@bizagi.com.

 

8.¿Qué es el soporte de VPN y SLA?

El SLA ofrecido para la VPN es de 99.99% de disponibilidad. El SLA y el tiempo de actividad excluyen el tiempo de inactividad resultante directa o indirectamente de cualquier problema que surja en el punto final de la VPN de su red, o de cualquier cambio realizado por usted en el punto final de la VPN de su red sin previo aviso.

 

9.Si uso una VPN, tengo un canal dedicado para que mis datos viajen por la red?

No, aún si usted adquiere una VPN sus datos son enviados a través de HTTPS público. Sin embargo, la VPN brinda un grado adicional de seguridad al proporcionar un túnel seguro sobre el canal de comunicación.