我们正在使用 Transit Gateway 和 AWS 中的 VPC 设置站点到站点 VPN。出现的问题是 VPN 加密在 AWS 端何时终止。是在 Transit GW 还是在 VPC 的边界。
如果是在 Transit GW,外部人员是否可以窥探 Transit GW 与 VPC 内运行的实例之间的流量。使用虚拟专用网关会有所帮助吗?
我问这个问题的原因是我们需要从内部部署网络到 VPC 中的实例建立未加密的连接。
任何见解都将不胜感激。
谢谢
答案1
使用 AWS VPN 时,您始终拥有虚拟专用网关。它实际上是 AWS 端的终止点,无论您将其连接到 Transit Gateway 还是直接连接到 VPC。
传输网关已经是安全的,几乎不存在任何机会(因为我仍然相信没有什么是 100% 安全的),有人会窥探这一级别。
VPC 获得随附的作为不同的支路到达 TGW,并由路由表来引导您的流量。
因此,您可以在 VPGW 处终止 VPN,从那时起流量就保持原样。
如果您担心,您可以随时将其加密到 VPC 中的任何目的地,并根据需要添加额外的身份验证级别和其他安全措施。
https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html#vpn-create-target-gateway