Ao configurar uma integração que usa um protocolo criptografado, como o protocolo LDAP (Lightweight Directory Access Protocol, Protocolo de acesso a diretório leve) ou HTTPS, usar a Internet como mecanismo de transporte é uma prática recomendada.

No entanto, pode haver requisitos de arquitetura de segurança ou de rede que determinem o uso de uma conexão de Rede Privada Virtual (VPN) IPSEC (Internet Protocol Security, Segurança de protocolo de internet) site a site entre os datacenters e suas redes de negócios. A VPN oferece suporte à comunicação criptografada necessária entre a instância e a rede.

Conexões de VPN

A infraestrutura de VPN da ServiceNow usa pares de ASA (adaptive security appliance, dispositivo de segurança adaptativo) Cisco que servem como pontos de terminação de VPN.

A VPN entre a instância e sua rede utiliza o hardware de rede existente para oferecer suporte a comunicações. Não é necessário instalar nenhuma peça de hardware. Como cada cliente tem uma configuração exclusiva, a instância tem uma solução VPN flexível. A instância construiu túneis para Checkpoint, Juniper, Nortel e outros dispositivos compatíveis com VPN IPSEC.

As conexões de VPN entre a instância e sua rede são criadas para oferecer suporte ao fluxo criptografado de tráfego em sua rede. Frequentemente, as integrações que usam a VPN não têm criptografia como parte do protocolo subjacente. Por exemplo, LDAP na VPN versus LDAPS na Internet e HTTP na VPN versus HTTPS na Internet.

A rede não permite que nenhuma integração de entrada para a ServiceNow ou tráfego de usuário final para a ServiceNow atravesse uma conexão VPN. Essa comunicação restrita inclui o acesso do usuário final à plataforma, a administração da plataforma, as integrações de serviços da Web e outras integrações que são configuradas para usar um MID Server. Todas essas comunicações de entrada com a instância devem ser realizadas pela Internet usando HTTPS. Esta configuração fornece um canal de comunicação criptografado. O canal de criptografia, junto com o controle de acesso IP, atende aos requisitos de segurança para este fluxo de tráfego.

Endereços para comunicação VPN

Para evitar conflito ou sobreposição com redes internas da ServiceNow ou com outros esquemas de endereço IP interno em sua rede, todo o tráfego em túnel no domínio de criptografia deve usar endereços não RFC-1918 em ambos os lados do túnel.

ServiceNow fornece um único endereço IP para a origem das consultas em sua rede. Você deve fornecer endereços de NAT (Network Address Translation, conversão de endereço de rede) não RFC-1918 para cada host que está se integrando à sua instância. Esses endereços públicos precisam pertencer à sua organização. Endereços de terceiros não podem ser usados dentro de túneis. Além disso, o domínio de criptografia não deve conter o endereço IP do par da VPN.

Túneis redundantes

Com o primeiro método, você precisa fornecer o mesmo endereço de NAT atrás de cada um dos seus pares para criar um caminho de conexão usando esse endereço para o seu servidor. O caminho para o servidor pode ser a mesma máquina física ou um espelho que fornece serviços idênticos. Com este método, sua instância usaria o mesmo endereço IP para se conectar aos seus servidores, independentemente de o túnel primário ou secundário estar ativo. Se você tiver mais de um servidor, siga este mesmo esquema para os servidores adicionais. Este método fornece mais transparência para os usuários e é recomendado.

O segundo método requer configuração em sua instância para fornecer a redundância. Quando o túnel é usado para LDAP, por exemplo, você pode fornecer servidores LDAP redundantes em sua instância. Observe que este método requer que a conexão com o primeiro servidor LDAP configurado atinja o tempo limite antes que a instância tente se conectar ao servidor secundário. Por causa deste atraso de tempo adicional, esta solução só deve ser implementada se a primeira opção estiver inatingível. Observe também que nem todos os serviços podem ser configurados de forma redundante em sua instância. Se você estiver usando um túnel VPN para algo diferente de LDAP e a redundância for necessária, verifique se sua configuração pode oferecer suporte a vários endereços ou consulte a primeira opção acima.

Alternativas ao uso de uma VPN

Essas alternativas fornecem uma maneira mais simples de conectar sua instância aos recursos nos datacenters da ServiceNow e fornecer melhor criptografia. Além disso, você pode evitar problemas que o tempo de inatividade da VPN possa causar, como tornar sua instância indisponível para os usuários se houver um problema com o túnel VPN.

Configuração de VPN

A partir do momento em que uma solicitação de VPN é enviada, normalmente leva uma semana ou menos para concluir a compilação da VPN. Para oferecer suporte aos requisitos de redundância da sua instância e da sua organização, um mínimo de duas e um máximo de quatro VPNs são provisionadas (do site ativo para o seu site ativo ou do site ativo para o seu site de DR e assim por diante).

É uma prática recomendada que o domínio de criptografia seja o mais específico possível. O ideal é que o domínio de criptografia inclua somente os hosts específicos necessários para as integrações. Um domínio de criptografia grande pode criar oportunidades para discrepâncias de roteamento (VPN versus Internet).

A instância não é compatível com a criação de vários túneis VPN em uma rede de cliente para fins de conexão com várias regiões geográficas ou subsidiárias. Você deve executar qualquer roteamento entre sites, distribuição de tráfego ou modelagem de tráfego em sua própria rede interna, em vez de ter vários túneis VPN.