Virtual Private Network (VPN) erkunden

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 5 Minuten Lesedauer

    • Verwenden Sie ein virtuelles privates Netzwerk (VPN), um Ihre Instanz mit externen Datenquellen über das Internet zu integrieren.

    Wenn Sie eine Integration konfigurieren, die ein verschlüsseltes Protokoll verwendet, z. B. LDAP (Leichtgewichtler Verzeichniszugriff) oder HTTPS, empfiehlt es sich, das Internet als Transportmechanismus zu verwenden.

    Es können jedoch Sicherheits- oder Netzwerkarchitekturanforderungen bestehen, die die Verwendung einer Site-to-Site Internet Protocol Security (IPSEC) Virtual Private Network (VPN)-Verbindung zwischen den Rechenzentren und Ihren Geschäftsnetzwerken vorschreiben. Das VPN unterstützt die erforderliche verschlüsselte Kommunikation zwischen der Instanz und Ihrem Netzwerk.

    VPN-Verbindungen

    Die VPN-Infrastruktur ServiceNow verwendet Paare von Cisco Adaptive Security Appliances (ASA), die als VPN-Beendigungspunkte dienen.

    Das VPN zwischen der -Instanz und Ihrem Netzwerk nutzt Ihre vorhandene Netzwerkhardware, um die Kommunikation zu unterstützen. Es ist nicht erforderlich, Hardware zu installieren. Da jeder Kunde über eine einzigartige Konfiguration verfügt, verfügt die Instanz über eine flexible VPN-Lösung. Die Instanz verfügt über erstellte Tunnel zu Prüfpunkt, Juniper, Stortel und anderen IPSEC-VPN-fähigen Geräten.

    Die VPN-Verbindungen zwischen der -Instanz und Ihrem Netzwerk werden erstellt, um den verschlüsselten Datenverkehr in Ihr Netzwerk zu unterstützen. Integrationen, die VPN verwenden, haben häufig keine Verschlüsselung als Teil des zugrunde liegenden Protokolls. Beispiel: LDAP über VPN im Vergleich zu LDAPS über das Internet und HTTP über VPN im Vergleich zu HTTPS über das Internet.

    Das Netzwerk lässt nicht zu, dass eingehender Datenverkehr zur ServiceNow-Integration oder Endanwender-zu-ServiceNow-Datenverkehr eine VPN-Verbindung durchläuft. Diese eingeschränkte Kommunikation umfasst den Zugriff von Endanwendern auf die Plattform, die Verwaltung der Plattform, Webserviceintegrationen und andere Integrationen, die für die Verwendung eines MID-Serverskonfiguriert sind. Die gesamte eingehende Kommunikation für die Instanz muss über das Internet mit HTTPS erfolgen. Diese Konfiguration bietet einen verschlüsselten Kommunikationskanal. Der Verschlüsselungskanal erfüllt zusammen mit der IP-Zugriffssteuerung die Sicherheitsanforderungen für diesen Datenverkehrs-Flow.

    Adressen für die VPN-Kommunikation

    Um Konflikte oder Überschneidungen mit internen ServiceNow -Netzwerken oder anderen internen IP-Adressschemata in Ihrem Netzwerk zu vermeiden, muss der gesamte Datenverkehr im Tunneling-Verfahren in der Verschlüsselungsdomäne auf beiden Seiten des Tunnels Nicht-RFC-1918-Adressen verwenden.

    ServiceNow stellt eine einzelne IP-Adresse für die Quelle von Abfragen in Ihrem Netzwerk bereit. Sie müssen für jeden Host, der in Ihre -Instanz integriert wird, NAT-Nicht-RFC-1918-Adressen (Network Address Translation) angeben. Diese öffentlichen Adressen müssen im Besitz Ihrer Organisation sein. Adressen von Drittparteien können nicht innerhalb von Tunnels verwendet werden. Darüber hinaus darf die Verschlüsselungsdomäne nicht die IP-Adresse des VPN-Peers enthalten.

    Redundante Tunnel

    Es gibt zwei Möglichkeiten, Redundanz für Ihre Tunnel zu erstellen:
    • Sie verwenden dieselbe Verschlüsselungsdomäne hinter beiden Ihrer Peers. Dies ist die bevorzugte Methode.
    • Verwendung einer anderen Verschlüsselungsdomäne hinter jedem Peer

    Bei der ersten Methode müssen Sie hinter jedem Ihrer Peers dieselbe NAT-Adresse angeben, um mit dieser Adresse einen Verbindungspfad zu Ihrem Server zu erstellen. Der Pfad zu Ihrem Server kann derselbe physische Computer oder ein Spiegel sein, der identische Services bereitstellt. Mit dieser Methode würde Ihre Instanz dieselbe IP-Adresse verwenden, um eine Verbindung zu Ihren Servern herzustellen, unabhängig davon, ob Ihr primärer oder sekundärer Tunnel aktiv ist. Wenn Sie mehr als einen Server haben, folgen Sie diesem Schema für weitere Server. Diese Methode bietet Ihren Anwendern die meiste Transparenz und wird empfohlen.

    Die zweite Methode erfordert eine Konfiguration in Ihrer Instanz, um die Redundanz bereitzustellen. Wenn der Tunnel beispielsweise für LDAP verwendet wird, können Sie redundante LDAP-Server in Ihrer Instanz bereitstellen. Beachten Sie, dass diese Methode erfordert, dass die Verbindung zum ersten konfigurierten LDAP-Server abläuft, bevor die Instanz versucht, eine Verbindung zum sekundären Server herzustellen. Aufgrund dieser zusätzlichen Zeitverzögerung sollte diese Lösung nur implementiert werden, wenn die erste Option nicht erreichbar ist. Beachten Sie auch, dass in Ihrer Instanz nicht alle Services für redundant konfiguriert werden können. Wenn Sie einen VPN-Tunnel für etwas anderes als LDAP verwenden und Redundanz erforderlich ist, überprüfen Sie, ob Ihre Konfiguration mehrere Adressen unterstützen kann, oder sehen Sie sich die erste Option oben an.

    Alternativen zur Verwendung eines VPN

    Diese Alternativen stellen eine einfachere Möglichkeit dar, Ihre -Instanz mit den Ressourcen in den ServiceNow -Rechenzentren zu verbinden und bieten eine bessere Verschlüsselung. Darüber hinaus können Sie Probleme vermeiden, die durch VPN-Ausfallzeiten verursacht werden, z. B. wenn Ihre Instanz für Benutzer nicht verfügbar ist, wenn ein Problem mit dem VPN-Tunnel auftritt.

    Single Sign-on und MID Server

    Erwägen Sie die Verwendung einer Kombination aus Single Sign-on (SSO) für die Authentifizierung und dem MID-Server für die Synchronisierung von Anwenderdaten, anstatt ein VPN für die Verbindung Ihres LDAP-Servers mit Ihrer Instanz zu verwenden. Erwägen Sie für andere Integrationen als LDAP die Verwendung von zertifikatbasierter Verschlüsselung.

    Sie können den LDAP-Listener auf einem MID-Server verwenden, um Ihre Benutzertabelle nahezu in Echtzeit zu synchronisieren.

    Der Vorteil dieses Ansatzes besteht darin, dass keine Firewall-Lücken, Routen, VPN-Tunnel oder andere spezielle Netzwerkeinstellungen konfiguriert und verwaltet werden müssen. Die SSO/MID-Server-Lösung ist die flexibelste, sicherste und kosteneffektivste Methode zur vollständigen LDAP-Integration.

    LDAP über SSL
    Eine weitere Alternative zur Verwendung eines VPN-Tunnels ist die Konfiguration von LDAP Over SSL (LDAPS) direkt über das Internet. Sie können einen schreibgeschützten Domänencontroller konfigurieren und die Instanz in Ihrer DMZ sperren, indem Sie nur die Quelladressen der Instanz und die Zielports Ihrer Wahl verwenden. Da die Ports für LDAP in Ihrer Instanz konfigurierbar sind, können Sie bei Bedarf eine Port Address Translation (PAT) durchführen. Mit LDAPS steuern Sie das Zertifikat, das über einen verschlüsselten Kanal in die Instanz hochgeladen wird (siehe Ein Zertifikat wird in eine Instanz hochgeladen). Die Pakete können ohne das Zertifikat nicht verschlüsselt oder entschlüsselt werden.

    Der Vorteil dieses Ansatzes besteht darin, dass er einen stärkeren Verschlüsselungs- und Entschlüsselungsmechanismus bietet. Ein VPN kann den Datenverkehr zwischen den beiden Partnern im Internet nur mit einem koordinierten vorinstallierten Schlüssel verschlüsseln und entschlüsseln, ähnlich einem Passwort. LDAPS bietet einen längeren verschlüsselten Pfad (End-to-End) auf der Anwendungsebene und ein Zertifikat, das weitaus komplexer ist als ein vorinstallierter Schlüssel, den der IPSec-Tunnel verwendet.

    VPN-Setup

    Vom Zeitpunkt der Übermittlung einer VPN-Anforderung an dauert es normalerweise maximal eine Woche, bis der VPN-Build abgeschlossen ist. Zur Unterstützung der Redundanzanforderungen Ihrer Instanz und Ihrer Organisation werden mindestens zwei und maximal vier VPNs bereitgestellt (von der aktiven Site zu Ihrer aktiven Site oder der aktiven Site zu Ihrer DR-Site usw.).

    Es empfiehlt sich, die Verschlüsselungsdomäne so spezifisch wie möglich anzugeben. Idealerweise enthält die Verschlüsselungsdomäne nur die spezifischen Hosts, die für die Integrationen erforderlich sind. Eine große Verschlüsselungsdomäne kann Möglichkeiten für Diskrepanzen beim Routing bieten (VPN oder Internet).

    Um das VPN zu erstellen, geht die Instanz wie folgt vor:
    1. Stellt die VPN-Peer- und Hostadressen aus jedem Rechenzentrum bereit.
    2. Baut die erforderliche VPN-Konnektivität aus zwei Rechenzentren in Ihr Netzwerk auf. Zur Unterstützung der Anforderungen in Bezug auf Redundanz und Notfallwiederherstellung (DR) können die VPNs von zwei Rechenzentren aus in zwei Netzwerken bereitgestellt werden.

    Die Instanz unterstützt nicht den Aufbau mehrerer VPN-Tunnel in einem Kundennetzwerk, um Verbindungen mit mehreren geografischen Regionen oder Tochterunternehmen herzustellen. Sie sollten Inter-Site-Routing, Datenverkehrsverteilung oder Traffic Shaping innerhalb Ihres eigenen internen Netzwerks durchführen, anstatt mehrere VPN-Tunnel zu verwenden.