Tipos de Despliegues
Deyel tiene diferentes opciones para conectarse con los servicios de cada empresa, que resuelven el modo de acceso al servicio en función de los requerimientos de seguridad. Cada una de estas opciones se detallan a continuación.
Acceso Web
Acceso estándar a Deyel Cloud utilizando el protocolo https, que permite el acceso desde cualquier cliente conectado a internet.
Acceso con Dominio Propio
Para acceder a Deyel se utiliza una dirección web (url) para cada ambiente, para el caso del ambiente productivo esta url se puede definir con un dominio propio.
El acceso debe ser seguro por lo tanto es necesario contar con un certificado https para realizar esta configuración.
Dicha configuración requiere tareas del propietario del dominio y del equipo técnico Deyel.
Las tareas a cargo del propietario del dominio son:
•Registrar su dominio y configurar la ruta del mismo al servidor de Deyel Cloud.
•Contratar un certificado SSL (TLS1.2) del tipo Single Domain o Wildcard y entregarlo al equipo técnico Deyel para acceder por el protocolo https.
Existen dos maneras de configuración del certificado:
•Certificado privado
El dueño del dominio entrega el PEM-encoded certificate body, private key y certificate chain.
•Certificado público
El dueño del dominio define un registro CNAME para permitir que Deyel mediante el uso de los servicios de AWS cifre en su nombre.
El equipo de Deyel entrega un archivo csv con los datos para crear el registro CNAME (Domain Name,Record Name,Record Type,Record Value).
Las tareas a cargo del equipo técnico Deyel son:
•Instalar el certificado SSL en el balanceador de carga del servidor Deyel Cloud.
•Entregar al usuario los datos del balanceador de carga para que sean configurados en su dominio.
Acceso a dos Aplicaciones
Private Cloud
Configuración de Conexiones Privadas (VPN) para Acceder a Servicios Web
Deyel Cloud permite establecer conexiones VPN "site-to-site" para acceder desde Deyel hacia servicios web que se encuentran en servidores con redes privadas del cliente. El servicio VPN incluye la configuración inicial, las pruebas de conectividad y el soporte técnico.
Para utilizar el servicio VPN el cliente necesita un dispositivo VPN compatible localizado en sus instalaciones corporativas, con una dirección pública IP (IPv4) asignada y con capacidades para ser configurada usando el protocolo IPsec.
Deyel utiliza el servicio AWS Virtual Private Gateway para establecer túneles IpSec con sus clientes y de esta manera posibilitar el acceso a sus servicios web por ejemplo realizando integraciones al utilizar un API Rest.
Con este servicio se establece un túnel "site-to-site" entre el cliente y el servicio AWS Virtual Private Gateway de Deyel con el protocolo Internet Key Exchange versión 2 (IKEv2).
La configuración de este servicio soporta diferentes tipos de criptografía:
AES 256-bit encryption, SHA-2 hashing.
Diffie-Hellman groups:
Phase 1 can now use DH groups 2, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24
Phase 1 encryption algorithms AES128, AES256, AES128-GCM-16, AES256-GCM-16
Phase 1 integrity algorithms SHA-1, SHA2-256, SHA2-384, SHA2-512
Phase 2 can now use DH groups 2, 5, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24
Phase 2 encryption algorithms AES128, AES256, AES128-GCM-16, AES256-GCM-16
Phase 2 integrity algorithms SHA-1, SHA2-256, SHA2-384, SHA2-512
Datos del Cliente
•Customer Gateway (Ip del cliente pública donde establecer el túnel).
•Local Customer IPv4 Network Cidr (Red/IP de destino del cliente para conectarse en forma privada).
•Pre Shared Key para establecer el cifrado.
Datos de Deyel
•Outside IP Address (IP pública de Deyel suministrada por AWS del "tunnel 1-2" desde donde se establece el túnel)
•Local IPv4 Network Cidr (Red/IP privada dentro de la VPC por donde el cliente recibe las conexiones de manera privada) *Red/IP de la EC2 Nat-VP.
Control de Acceso Basado en la Habilitación de Direcciones IP
Deyel Cloud ofrece la posibilidad de proteger el acceso a su servicio restringiendo el mismo a solamente una lista de direcciones IP específicas. Para realizar esta implementación se pueden bloquear los accesos públicos utilizando filtros de IP origen personalizados y así controlar los puntos de acceso permitidos utilizando el protocolo https.
Una vez configuradas las direcciones IP de acceso permitido, los usuarios que intenten conectarse con Deyel por fuera de estas direcciones IP reciben un mensaje de error, indicando que se deben conectar al sitio a través de una conexión VPN o desde la red corporativa de la empresa.
