Virtual Private Network (VPN) erkunden

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 5 Minuten Lesedauer

    • Verwenden Sie ein virtuelles privates Netzwerk (VPN), um Ihre Instanz mit externen Datenquellen über das Internet zu integrieren.

    Beim Konfigurieren einer Integration, die ein verschlüsseltes Protokoll verwendet, z. B. Lightweight Directory Access Protocol (LDAP) oder HTTPS, empfiehlt es sich, das Internet als Transportmechanismus zu verwenden.

    Es kann jedoch Sicherheits- oder Netzwerkarchitekturanforderungen geben, die die Verwendung einer Site-to-Site Internet Protocol Security (IPSEC) Virtual Private Network (VPN)-Verbindung (Virtual Private Network) zwischen den Rechenzentren und Ihren Geschäftsnetzwerken vorschreiben. Das VPN unterstützt die erforderliche verschlüsselte Kommunikation zwischen der Instanz und Ihrem Netzwerk.

    Warnung:

    Wenn ein VPN-Tunnel initiiert wird, funktioniert er als Site-to-Site-Verbindung. Dies bedeutet, dass der Endpunkt in Ihrer Infrastruktur eine IP-Adresse erhält, die als Verschlüsselungsdomäne bezeichnet wird. Auf diese öffentliche IP kann von jeder Instanz im selben Rechenzentrum zugegriffen werden.

    Wenn Sie beispielsweise einen internen Webservice haben und einen VPN-Tunnel einrichten, kann Ihre Instanz den internen Endpunkt sowie alle Ihre anderen Instanzen im selben Rechenzentrum erreichen.

    VPN-Verbindungen

    Die ServiceNow Die VPN-Infrastruktur verwendet Paare von Cisco Adaptive Security Appliance (ASA)-Geräten, die als VPN-Terminationspunkte dienen.

    Das VPN zwischen der Instanz und Ihrem Netzwerk verwendet Ihre vorhandene Netzwerkhardware zur Unterstützung der Kommunikation. Es ist nicht erforderlich, eine Hardware zu installieren. Da jeder Kunde über eine eindeutige Konfiguration verfügt, verfügt die Instanz über eine flexible VPN-Lösung. Die Instanz hat Tunnel für Checkpoint-, Juniper-, Nortel- und andere IPSEC-VPN-fähige Geräte erstellt.

    Die VPN-Verbindungen zwischen der Instanz und Ihrem Netzwerk werden erstellt, um den verschlüsselten Datenverkehr in Ihr Netzwerk zu unterstützen. Häufig verfügen Integrationen, die VPN verwenden, nicht über Verschlüsselung als Teil des zugrunde liegenden Protokolls. Beispiel: LDAP Über VPN versus LDAPS über das Internet und HTTP über VPN versus HTTPS über das Internet.

    Das Netzwerk lässt keine eingehende Integration von ServiceNow oder Datenverkehr von Endanwendern zu ServiceNow zu, eine VPN-Verbindung zu passieren. Diese eingeschränkte Kommunikation umfasst den Zugriff von Endanwendern auf die Plattform, die Verwaltung der Plattform, Webservices-Integrationen und andere Integrationen, die für die Verwendung von konfiguriert sind MID-Server . Die gesamte eingehende Kommunikation mit der Instanz muss über das Internet mithilfe von HTTPS erfolgen. Diese Konfiguration stellt einen verschlüsselten Kommunikationskanal bereit. Der Verschlüsselungskanal erfüllt zusammen mit der IP-Zugriffssteuerung die Sicherheitsanforderungen für diesen Datenverkehr-Flow.

    Adressen für VPN-Kommunikation

    Um Konflikte oder Überschneidungen mit internen zu verhindern ServiceNow In Netzwerken oder mit anderen internen IP-Adressschemata in Ihrem Netzwerk muss für den gesamten getunnelten Datenverkehr in der Verschlüsselungsdomäne auf beiden Seiten des Tunnels nicht-RFC-1918-Adressen verwendet werden.

    ServiceNow Stellt eine einzelne IP-Adresse für die Quelle von Abfragen in Ihrem Netzwerk bereit. Sie müssen NAT (Network Address Translation), nicht-RFC-1918-Adressen für jeden Host angeben, der in Ihre Instanz integriert wird. Diese öffentlichen Adressen müssen im Besitz Ihrer Organisation sein. Drittparteiadressen können nicht in Tunneln verwendet werden. Außerdem darf die Verschlüsselungsdomäne nicht die IP-Adresse des VPN-Peers enthalten.

    Redundante Tunnel

    Es gibt zwei Möglichkeiten, Redundanz für Ihre Tunnel zu erstellen:
    • Verwenden Sie dieselbe Verschlüsselungsdomäne hinter Ihren Kollegen. Dies ist die bevorzugte Methode.
    • Verwenden einer anderen Verschlüsselungsdomäne hinter jedem Peer.

    Bei der ersten Methode müssen Sie hinter jedem Ihrer Kollegen dieselbe NAT-Adresse angeben, um einen Verbindungspfad mit dieser Adresse zu Ihrem Server zu erstellen. Der Pfad zu Ihrem Server kann derselbe physische Computer oder ein Spiegel sein, der identische Services bereitstellt. Mit dieser Methode verwendet Ihre Instanz dieselbe IP-Adresse, um eine Verbindung zu Ihren Servern herzustellen, unabhängig davon, ob Ihr primärer oder sekundärer Tunnel aktiv ist. Wenn Sie mehr als einen Server haben, befolgen Sie dasselbe Schema für Ihre zusätzlichen Server. Diese Methode bietet Ihren Anwendern die meiste Transparenz und wird empfohlen.

    Die zweite Methode erfordert eine Konfiguration in Ihrer Instanz, um die Redundanz bereitzustellen. Wenn der Tunnel beispielsweise für LDAP verwendet wird, können Sie redundante LDAP-Server in Ihrer Instanz bereitstellen. Beachten Sie, dass für diese Methode eine Zeitüberschreitung bei der Verbindung zum ersten konfigurierten LDAP-Server erforderlich ist, bevor die Instanz versucht, eine Verbindung zum sekundären Server herzustellen. Aufgrund dieser zusätzlichen Zeitverzögerung sollte diese Lösung nur implementiert werden, wenn die erste Option nicht erreichbar ist. Beachten Sie auch, dass nicht alle Services für redundant in Ihrer Instanz konfiguriert werden können. Wenn Sie einen VPN-Tunnel für etwas anderes als LDAP verwenden und Redundanz erforderlich ist, überprüfen Sie, ob Ihre Konfiguration mehrere Adressen unterstützen kann, oder sehen Sie sich die erste Option oben an.

    Alternativen zur Verwendung eines VPN

    Diese Alternativen bieten eine einfachere Möglichkeit, Ihre Instanz mit den Ressourcen in zu verbinden ServiceNow Rechenzentren und bieten eine bessere Verschlüsselung. Darüber hinaus können Sie alle Probleme vermeiden, die VPN-Ausfallzeiten verursachen könnten, z. B. die Nichtverfügbarkeit Ihrer Instanz für Anwender, wenn ein Problem mit dem VPN-Tunnel auftritt.

    Single Sign-on und MID-Server

    Erwägen Sie, eine Kombination aus Single Sign-on (SSO) für die Authentifizierung und dem MID-Server für die Synchronisierung von Anwenderdaten zu verwenden, anstatt ein VPN zu verwenden, um Ihren LDAP-Server mit Ihrer Instanz zu verbinden. Erwägen Sie für andere Integrationen als LDAP die Verwendung einer zertifikatbasierten Verschlüsselung.

    Sie können den LDAP-Listener auf einem MID-Server verwenden, um Ihre Anwendertabelle nahezu in Echtzeit zu synchronisieren.

    Der Vorteil dieses Ansatzes besteht darin, dass keine Firewall-Löcher, Routen, VPN-Tunnel oder andere spezielle Netzwerkeinstellungen konfiguriert und verwaltet werden müssen. Die SSO/MID-Server-Lösung ist die flexibelste, sicherste und kosteneffektivste Methode, um die vollständige LDAP-Integration zu erreichen.

    LDAP über SSL
    Eine weitere Alternative zur Verwendung eines VPN-Tunnels besteht darin, LDAP over SSL (LDAPS) direkt über das Internet zu konfigurieren. Sie können einen schreibgeschützten Domänencontroller konfigurieren und die Instanz in Ihrer DMZ sperren, indem Sie nur die Quelladressen der Instanz und die Zielports Ihrer Wahl verwenden. Da die Ports für LDAP in Ihrer Instanz konfigurierbar sind, können Sie bei Bedarf eine Portadressübersetzung (PAT) durchführen. Mit LDAPS steuern Sie das Zertifikat, das über einen verschlüsselten Kanal in die Instanz hochgeladen wird (siehe Ein Zertifikat wird in eine Instanz hochgeladen). Die Pakete können ohne das Zertifikat nicht verschlüsselt oder entschlüsselt werden.

    Der Vorteil dieses Ansatzes besteht darin, dass er einen stärkeren Verschlüsselungs- und Entschlüsselungsmechanismus bietet. Ein VPN kann den Datenverkehr zwischen den beiden Peers im Internet nur mit einem koordinierten vorab freigegebenen Schlüssel verschlüsseln und entschlüsseln, ähnlich einem Passwort. LDAPS bietet einen längeren verschlüsselten Pfad, End-to-End, auf Anwendungsebene und ein Zertifikat, das viel komplizierter ist als ein vorab freigegebener Schlüssel, den der IPSec-Tunnel verwendet.

    VPN-Setup

    Ab dem Zeitpunkt, zu dem eine VPN-Anforderung übermittelt wird, dauert es normalerweise eine Woche oder weniger, bis der VPN-Build abgeschlossen ist. Zur Unterstützung der Redundanzanforderungen Ihrer Instanz und Ihrer Organisation werden mindestens zwei und maximal vier VPNs bereitgestellt (vom aktiven Standort zu Ihrem aktiven Standort oder vom aktiven Standort zu Ihrem DR-Standort usw.).

    Es empfiehlt sich, die Verschlüsselungsdomäne so spezifisch wie möglich zu gestalten. Idealerweise umfasst die Verschlüsselungsdomäne nur die spezifischen Hosts, die für die Integrationen erforderlich sind. Eine große Verschlüsselungsdomäne kann Möglichkeiten für die Weiterleitung von Diskrepanzen (VPN versus Internet) schaffen.

    Um das VPN zu erstellen, führt die Instanz Folgendes aus:
    1. Stellt die VPN-Peer- und Host-Adressen aus jedem Rechenzentrum bereit.
    2. Erstellt die erforderliche VPN-Konnektivität von zwei Rechenzentren in Ihr Netzwerk. Zur Unterstützung von Redundanzanforderungen und Notfallwiederherstellungsanforderungen (DR) können die VPNs von zwei Rechenzentren in zwei Netzwerken bereitgestellt werden.

    Die Instanz unterstützt nicht das Erstellen mehrerer VPN-Tunnel in einem Kundennetzwerk, um eine Verbindung zu mehreren geografischen Regionen oder Tochterunternehmen herzustellen. Sie sollten eine standortübergreifende Weiterleitung, Datenverkehrsverteilung oder Datenverkehrsgestaltung in Ihrem eigenen internen Netzwerk durchführen, anstatt über mehrere VPN-Tunnel zu verfügen.