Durchsuchbare Dokumentation aufrufen | Zurück zur Dokumentationsübersicht
Navigation: Dokumentationen agorum core > Übersicht tags > Sicherheitsmaßnahmen der agorum cloud
Für die agorum cloud kann optional eine VPN-Verbindung eingerichtet werden, sodass ein Zugriff auf die Netzwerkinfrastruktur, zum einen vom Kunden zur Cloud als auch von der Cloud zum Kunden stattfinden kann.
Somit ist es möglich, agorum core als „internes“ System anzusprechen und erweiterte Netzwerkfunktionen zu nutzen, wie:
Zum anderen wird es dadurch auch möglich, dass agorum core auf die Netzwerkinfrastruktur des Kunden zugreifen kann, dies ist etwa notwendig für:
Der Zugriff ist dabei ausschließlich isoliert auf das jeweilige agorum cloud-Kundensystem und kommt mit Netzwerken anderer Cloud-Installation nicht in Berührung.
Jedes agorum cloud-Kundensystem besitzt ein eigenes Subnetz, etwa 10.101.10.X. Das agorum core-System besitzt dann eine IP aus diesem Subnetz, etwa 10.101.10.102
Unabhängig vom VPN kann das Kundensystem über das Internet über die eine öffentliche Domain aufgerufen werden (das ist der Standard, wenn kein VPN eingerichtet ist). Die Adresse lautet dann etwa:
https://kundenname.agorumcloud.com
Diese Adresse ist öffentlich erreichbar und über SSL gesichert.
Über VPN gibt es auch eine interne Domain, diese lautet dann analog zum obigen Beispiel:
kundenname.intern.agorumcloud.com
Diese interne Domain verweist auf die interne IP der agorum core-Installation in der Cloud und ist ausschließlich über VPN erreichbar.
Beim Einsatz von VPN kann auf Wunsch der öffentliche Zugriff gesperrt werden.
Die Verbindung zum VPN wird von Kundenseite aus initiiert. Dazu wird ein Endpoint für den VPN-Aufbau aufgerufen (öffentliche IP).
Für die VPN-Verbindung wird IPsec verwendet. Als Schlüsselaustausch wird IKEv1 oder IKEv2 zur Verfügung gestellt.
Damit die Verbindung zustande kommen kann, ist es wichtig, dass die VPN-Verbindungsparameter auf beiden Seiten exakt übereinstimmen. Zur Einrichtung der VPN-Verbindung sind daher folgende Informationen des Kunden notwendig:
Öffentliche IP
Mit dieser baut der Kunde die Verbindung zum agorum cloud-VPN-Endpoint auf. Diese IP-Adresse muss statisch sein und darf sich nicht ändern. Diese kann etwa mit folgender Website herausgefunden werden: https://www.wieistmeineip.de/
Internes Netzwerk
Die IP und das Subnetz des internen Kundennetzwerkes, etwa 10.0.0.0/24 (entspricht 10.0.0.1 - 10.0.0.254) oder 10.0.0.0/16 (entspricht: 10.0.0.1 - 10.0.254.254)
Verwendetes Schlüsselaustausch Verfahren
IKEv1 oder IKEv2 (IKEv2 ist zu empfehlen, da moderner, aber dazu ist es notwendig, dass dies die kundenseitige Gegenstelle auch unterstützt).
IKE encryption algorithm
Mögliche Werte:
IKE authentication algorithm
Mögliche Werte:
IKE SA lifetime
IKE DH Group
Mögliche Werte:
IPsec encryption algorithm
Mögliche Werte:
IPSec authentication algorithm
Mögliche Werte:
IPsec SA lifetime
IPSec PFS group
Mögliche Werte:
Die obigen Werte ergeben sich aus dem, was kundenseitig vom VPN her unterstützt wird. Sobald uns alle Parameter bekannt sind, können wir die VPN-Einrichtung in der agorum cloud durchführen und teilen dem Kunden dann die restlichen Verbindungsinformationen mit: