Integración utilizando una VPN

<< Clic para mostrar Tabla de Contenidos >>

Navegación:  Automatización de Procesos con poco código > Studio Cloud -ambiente de autoría > Bizagi Studio Cloud Services > Suscripción Enterprise > Infraestructura de Studio Cloud Services >

Integración utilizando una VPN

Introducción

Con Automation Service o Studio Cloud Services puede integrar sus procesos de negocio con cualquier sistema o aplicación que ofrezca un endpoint público.

Si sus sistemas o aplicaciones no ofrecen un punto final público, puede establecer una VPN para permitir el acceso a ellos mientras se asegura de que los datos están cifrados en tránsito.

 

Acerca de la VPN

La VPN está diseñada para fines de integración. Cuando los procesos necesitan llegar a sistemas, servidores, servicios o bases de datos que no están expuestos a través de Internet, la VPN es una forma segura de acceder a esos sistemas.

 

Puede utilizar VPN que se empleará para la integración de aplicaciones, siempre que sus procesos en Automation Service se conecten a cualquiera de estos:

Un servicio web (SOAP, RESTful) que se configura dentro de la red y no ofrece un punto final público.

Un servidor de Directorio Activo (por ejemplo, para el uso de la autenticación LDAP en Bizagi o el módulo de sincronización de usuarios LDAP).

Una base de datos SQL Server que se configura dentro de la red y no ofrece un punto final público.

Un servidor SMTP que está configurado dentro de su red y no ofrece un punto final público.

Otros servicios corporativos, ESBs, o activos, que están configurados dentro de su red y no ofrecen puntos finales públicos.

Recuerde que al integrar una aplicación o servicio externo cuyo acceso se enruta a través de Internet o VPN, usted requiere de un certificado emitido por una CA pública. Para mayor seguridad, los certificados auto-firmados o CA locales no están soportados. Esto significa que el manejo de certificados será el mismo como si la integración se hiciera a través de internet con un punto de conexión público.

Cuando Bizagi necesita consumir servicios web en sus instalaciones (equipo local del cliente - C.P.E.), ya sea a través de una VPN o de la Internet, este servicio web debe contar con un certificado emitido por una Autoridad de Certificación Pública (CA). Si el servicio web tiene un certificado auto firmado o de una CA interna, Bizagi no podrá validar el sitio por razones de seguridad, lo que resultará en un error SSL.

 

VPN_01

 

note_pin

El acceso de usuario para el Customer Portal y Modeler no está incluido en la VPN.

Esto significa que el manejo de certificados será el mismo como si la integración se hiciera a través de internet con un punto de conexión público.

 

Debido a que la VPN está diseñada para fines de integración, NO debe considerarse como una medida de seguridad adicional para restringir el acceso a sus ambientes de automatización.

 

Lista blanca

Si es necesario, puede solicitar, a través de un ticket de soporte, habilitar una dirección IP, Lista Blanca. Por lo tanto, solo las direcciones IP de la lista pueden acceder a cualquiera de sus portales basados en la nube de Bizagi.

 

Ejemplo

Implementación de Certificado para myserver.contoso.loc

En un entorno de red empresarial, la empresa ficticia "Contoso" ha implementado un servidor llamado "myserver" con el dominio de red "contoso.loc". Se quiere integrar los servicios de este servidor con Bizagi. Para cumplir con este objetivo, se ha decidido implementar y mantener un certificado SSL/TLS para el servidor, con el nombre de dominio exacto "myserver.contoso.loc".

 

note_pin

El manejo de certificados será el mismo como si la integración se hiciera a través de internet con un punto de conexión público, aun así se use una VPN.

 

Entorno de red

Nombre del servidor: myserver

Dominio de red: contoso.loc

Sistema operativo: Windows Server

 

Implementación del certificado SSL/TLS

Se adquiere un certificado SSL/TLS de una autoridad de certificación confiable.

El certificado debe ser emitido para el nombre de host específico "myserver.contoso.loc", lo que garantiza que las conexiones solo se establezcan con este servidor y no con posibles servidores falsificados.

Se instala y configura el certificado en el servidor myserver para asegurar que las conexiones entrantes y salientes estén protegidas.

 

Renovación del certificado

Dado que los certificados SSL/TLS tienen una fecha de vencimiento, es necesario establecer un proceso de renovación periódica para garantizar la continuidad de la seguridad.

Se establece un recordatorio y un procedimiento automatizado para renovar el certificado antes de que caduque, evitando interrupciones en el servicio debido a un certificado expirado.

 

En resumen, la implementación y renovación continua del certificado SSL/TLS para "myserver.contoso.loc" son fundamentales para garantizar la seguridad y la integridad de las comunicaciones en el entorno de red de Contoso. Esto ayuda a proteger los datos sensibles y a mantener la confianza tanto de los usuarios internos como de los clientes externos en los servicios proporcionados por el servidor myserver.

 

Descripción del servicio

Para establecer una VPN entre sus instalaciones y Automation Service o Studio Cloud Services, necesita adquirir la oferta de servicio VPN.

este servicio incluye:

Configuración inicial.

Bizagi proporciona una guía de configuración para que su departamento de informática la siga.

La guía es específica a su dispositivo VPN.

Pruebas de conectividad para la configuración inicial, para validar que el tráfico fluye adecuadamente a través de la VPN.

Soporte técnico.

 

 

Configuración de tráfico unidireccional

La configuración por de tráfico unidireccional de la VPN establece un canal accesible para la integración de aplicaciones con un grado adicional de seguridad, siempre que los requisitos de integración involucren sistemas que utilizan puertos distintos a HTTPS (como TCP).

 

Esta configuración se utiliza para integraciones en una dirección. Es decir, cuando Bizagi necesita llamar a los sistemas que se encuentran en la infraestructura corporativa del cliente. Lo anterior implica que la VPN no se utiliza para el acceso del usuario final ni para ninguna solicitud entrante. El acceso de los usuarios finales se enruta a través del Internet.

Cloud_VPN_01

Requisitos técnicos de la VPN

Para usar una VPN, se aplican los requisitos técnicos estándar.

Necesita un dispositivo VPN compatible ubicado en las instalaciones, con una dirección IP pública (IPv4) asignada, con capacidades para ser configurado utilizando el protocolo IPsec.

La dirección IP pública debe ser estrictamente IP versión 4 y no debe estar ubicada detrás de un NAT.

Estos son los requisitos relativos a la configuración de la VPN en su extremo. Por parte de Bizagi habrá una configuración VPN correspondiente, proporcionada por la suscripción de Bizagi.

 

Bizagi utiliza la configuración de VPN soportada por Azure, como su laaS.

Por lo tanto, los dispositivos de VPN soportados son los que aparecen en https://docs.microsoft.com/es/azure/vpn-gateway/vpn-gateway-about-vpn-devices.

Asegúrese de que el dispositivo VPN que su organización empleará para este propósito esté soportado y en la lista anterior.

 

Otros requisitos

La creación de una VPN requiere el apoyo de su departamento de informática.

Necesita un experto de su lado para configurar, monitorear y manejar los aspectos de la VPN que dependen de la configuración de su red corporativa.

 

También es importante evaluar cualquier posible impacto en el rendimiento cuando se utiliza una VPN, especialmente para las solicitudes en línea (trabajos no programados), para que pueda determinar si los factores inherentes a la comunicación de la nube a sus instalaciones afectarán significativamente la capacidad de uso de sus aplicaciones.

Una VPN establece una conexión entre dos puntos finales como si estuvieran físicamente cableados, en términos de visibilidad, pero no en términos de rendimiento.

Algunos de los factores inherentes que afectan a la comunicación VPN, que están fuera del control de Automation Service, son: mayor latencia en la transmisión de datos, fluctuaciones, interferencias y congestión que afectan a la velocidad del canal, y la calidad de las redes utilizadas durante la transmisión.

 

Para configurar una VPN, es necesario establecer los rangos de las IP del cliente y de Bizagi que se permitirán dentro de la conexión de la VPN.

 

Próximos pasos

El primer paso para establecer una VPN es ponerse in contacto con su representante de ventas de Bizagi para adquirir el servicio.

Debe proporcionar detalles específicos como su Dirección IP pública y el dispositivo VPN especifico que utiliza para que pueda recibir instrucciones específicas sobre qué hacer a continuación de su lado.

 

Preguntas más frecuentes

Considere las respuestas a estas preguntas típicas:

 

1.¿Qué es una VPN?

Una red privada virtual (VPN) es una tecnología que extiende una red privada a través de una red pública, proporcionando un túnel sobre el canal de comunicación mientras se cifran los datos transmitidos.

En este caso específico, significa extender de forma segura su red corporativa a Automation Service, a través de Internet.

Los datos transmitidos se refieren a los datos intercambiados entre Automation Service y su red corporativa para los requisitos de integración de aplicaciones.

 

2.¿Qué es un túnel VPN?

Si bien una VPN es una red, las rutas utilizadas por los datos para pasar a través de dicha red se conocen como túneles. Los túneles se crean a través de diferentes tipos de protocolos de tunelización. Los ajustes como la velocidad y la complejidad del cifrado varían según el protocolo. Estos túneles son conexiones cifradas y es posible que tenga varios de estos túneles dentro de una VPN. Considere la cantidad de conexiones para una VPN, ya que estos túneles son limitados, así como el ancho de banda ofrecido para la VPN en su conjunto.

 

Hay diferentes tipos de conexiones. Una conexión de sitio a sitio (como la que usamos nosotros) usa una conexión sobre túnel VPN IPsec/IKE (IKEv1 o IKEv2)

 

3.¿Cuáles son las especificaciones técnicas de la VPN a configurar?

Las siguientes especificaciones son empleadas por la VPN:

Una VPN de sitio a sitio.

Seguridad del Protocolo de Internet (IPsec) con una implementación de Intercambio de Claves de Internet (IKE).

IKE version: 1 / 2 (IKEv1, IKEv2). Versión IKE: 1 / 2 (IKEv1, IKEv2).

Método de autenticación de clave precompartida.

Para la fase #1, parámetro IPsec, los ajustes incluyen:

oSoporte para los algoritmos de encriptación AES256 y AES128 y los algoritmos de hashing SHA1 y SHA256 utilizados para la autenticación.

oUse of DH group 2. Uso del grupo DH 2.

oUna vida útil de la clave (en segundos) de 56600.

Para la fase #2 relativa a los parámetros IPsec, los ajustes incluyen:

oSoporte de configuración para el algoritmo de encripción AES256 y AES128, y los algoritmos hashing SHA1 y SHA256 utilizados para la autenticación.

oUna vida útil de la clave (en segundos) de 7200.

oUn tamaño máximo de segmento de 1350 (clamp TCP MSS).

 

4.¿Cuánto tiempo llevará configurar una VPN?

El tiempo que se tarda en configurar una VPN depende en gran parte de los procedimientos de administración y gobierno del equipo de la informática.

Una VPN requiere que se lleven a cabo ciertas configuraciones en cada uno de los dos puntos finales (uno de ellos está bajo su control y el de su equipo de informática).

La configuración del punto final de la VPN directamente en Automation Service no llevará más de un día laborable, siempre que nos proporcione los detalles que necesitamos para la configuración.

 

5.¿El uso de una VPN proporciona seguridad adicional a los usuarios finales?

El acceso se enruta a través de la Internet pública a través de HTTPS, que ya se encarga de cifrar los datos en tránsito. Las conexiones entrantes pasan a través de la capa de seguridad, que es una medida de seguridad sólida para sus entornos de automatización. Sin embargo, la VPN no está destinada a restringir el acceso a sus entornos. Puede solicitar una configuración de lista blanca, por lo que las direcciones IP se pueden incluir en la lista como las únicas permitidas para acceder a cualquiera de los portales basados en la nube de Bizagi y brindar seguridad adicional.

 

6.¿El uso de una VPN me permite apuntar Automation Service (o cualquier de sus activos subyacentes) desde un sistema local?

No, de manera similar a la pregunta anterior, una VPN permite que Automation Service o Studio Cloud Services se dirija a sus sistemas locales.

No al revés.

 

7.¿El uso de una VPN implica un costo adicional?

Sí, si usted elige utilizar una VPN porque sus sistemas no ofrecen un punto final público seguro para propósitos de integración, necesitará adquirir una VPN de Automation Service para que pueda conectar exclusivamente a los recursos de suscripción designados según lo dispuesto por Automation Service.

Para obtener detalles con respecto al costo de la oferta de VPN póngase en contacto con su representante de ventas de Bizagi.

 

8.¿Qué aspectos debo cuidar cuando uso una VPN?

En caso de que su departamento de IT necesite realizar algún cambio en la ubicación de su infraestructura y servidores, red, dispositivo VPN o uno que afecte a una VPN operativa, por favor comuníquenoslo directamente a cloud@bizagi.com.

 

9.¿Qué es el soporte de VPN y SLA?

El SLA ofrecido para la VPN es de 99.99% de disponibilidad. El SLA y el tiempo de actividad excluyen el tiempo de inactividad resultante directa o indirectamente de cualquier problema que surja en el punto final de la VPN de su red, o de cualquier cambio realizado por usted en el punto final de la VPN de su red sin previo aviso.

 

10.Si uso una VPN, ¿tengo un canal dedicado para que mis datos viajen por la red?

No, aún si usted adquiere una VPN sus datos son enviados a través de HTTPS público. Sin embargo, la VPN brinda un grado adicional de seguridad al proporcionar un túnel seguro sobre el canal de comunicación.


Last Updated 18/12/2024 10:21:59 a. m.