Virtual Private Network (VPN) erkunden

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 5 Minuten Lesedauer

    • Verwenden Sie ein virtuelles privates Netzwerk (VPN), um Ihre Instanz mit externen Datenquellen über das Internet zu integrieren.

    Bei der Konfiguration einer Integration, die ein verschlüsseltes Protokoll verwendet, z. B. Lightweight Directory Access Protocol (LDAP) oder HTTPS, empfiehlt es sich, das Internet als Transportmechanismus zu verwenden.

    Es können jedoch Sicherheits- oder Netzwerkarchitekturanforderungen bestehen, die die Verwendung einer Site-to-Site-IPSEC-VPN-Verbindung (Virtual Private Network) zwischen den Rechenzentren und Ihren Geschäftsnetzwerken vorschreiben. Das VPN unterstützt die erforderliche verschlüsselte Kommunikation zwischen der Instanz und Ihrem Netzwerk.

    VPN-Verbindungen

    Die ServiceNow VPN-Infrastruktur verwendet Paare von ASA-Geräten (Adaptive Security Appliance) von Cisco, die als VPN-Beendigungspunkte dienen.

    Das VPN zwischen der Instanz und Ihrem Netzwerk nutzt Ihre vorhandene Netzwerkhardware, um die Kommunikation zu unterstützen. Es ist nicht erforderlich, Hardware zu installieren. Da jeder Kunde eine eindeutige Konfiguration hat, verfügt die Instanz über eine flexible VPN-Lösung. Die Instanz hat Tunnel zu Checkpoint-, Juniper-, Normal- und anderen IPSEC-VPN-fähigen Geräten erstellt.

    Die VPN-Verbindungen zwischen der -Instanz und Ihrem Netzwerk werden erstellt, um den verschlüsselten Datenverkehr in Ihr Netzwerk zu unterstützen. Integrationen, die das VPN verwenden, weisen häufig keine Verschlüsselung als Teil des zugrunde liegenden Protokolls auf. Zum Beispiel LDAP über das VPN im Vergleich zu LDAPS über das Internet und HTTP über das VPN im Vergleich zu HTTPS über das Internet.

    Das Netzwerk lässt keinen eingehenden Datenverkehr zur ServiceNow-Integration oder Endbenutzer-zu-ServiceNow-Datenverkehr über eine VPN-Verbindung zu. Diese eingeschränkte Kommunikation umfasst den Endbenutzerzugriff auf die Plattform, die Verwaltung der Plattform, Webservices-Integrationen und andere Integrationen, die für die Verwendung eines MID Serverskonfiguriert sind. Die gesamte eingehende Kommunikation an die Instanz muss über das Internet mit HTTPS erfolgen. Diese Konfiguration stellt einen verschlüsselten Kommunikationskanal bereit. Der Verschlüsselungskanal erfüllt zusammen mit der IP-Zugriffssteuerung die Sicherheitsanforderungen für diesen Datenverkehrsfluss.

    Adressen für die VPN-Kommunikation

    Um Konflikte oder Überschneidungen mit internen ServiceNow -Netzwerken oder mit anderen internen IP-Adressschemas in Ihrem Netzwerk zu vermeiden, muss der gesamte Datenverkehr in der Verschlüsselungsdomäne Nicht-RFC-1918-Adressen auf beiden Seiten des Tunnels verwenden.

    ServiceNow stellt eine einzelne IP-Adresse für die Quelle von Abfragen in Ihrem Netzwerk bereit. Sie müssen NAT-Nicht-RFC-1918-Adressen (Network Address Translation) für jeden Host angeben, der in Ihre Instanz integriert wird. Diese öffentlichen Adressen müssen Ihrer Organisation gehören. Drittparteiadressen können nicht in Tunneln verwendet werden. Darüber hinaus darf die Verschlüsselungsdomäne nicht die IP-Adresse des VPN-Peers enthalten.

    Redundante Tunnel

    Es gibt zwei Möglichkeiten, Redundanz für Ihre Tunnel zu erstellen:
    • Verwenden derselben Verschlüsselungsdomäne hinter beiden Peers. Dies ist die bevorzugte Methode.
    • Verwenden einer anderen Verschlüsselungsdomäne hinter jedem Peer.

    Bei der ersten Methode müssen Sie hinter jedem Ihrer Peers dieselbe NAT-Adresse angeben, um einen Verbindungspfad mit dieser Adresse zu Ihrem Server zu erstellen. Der Pfad zu Ihrem Server kann derselbe physische Computer oder ein Spiegel sein, der identische Services bereitstellt. Mit dieser Methode verwendet Ihre Instanz dieselbe IP-Adresse, um eine Verbindung zu Ihren Servern herzustellen, unabhängig davon, ob Ihr primärer oder sekundärer Tunnel aktiv ist. Wenn Sie mehr als einen Server haben, folgen Sie demselben Schema für weitere Server. Diese Methode bietet Ihren Benutzern die meiste Transparenz und wird empfohlen.

    Die zweite Methode erfordert eine Konfiguration in Ihrer Instanz, um die Redundanz bereitzustellen. Wenn der Tunnel beispielsweise für LDAP verwendet wird, können Sie redundante LDAP-Server in Ihrer Instanz bereitstellen. Beachten Sie, dass diese Methode eine Zeitüberschreitung der Verbindung zum ersten konfigurierten LDAP-Server erfordert, bevor die Instanz versucht, eine Verbindung zum sekundären Server herzustellen. Aufgrund dieser zusätzlichen Zeitverzögerung sollte diese Lösung nur implementiert werden, wenn die erste Option nicht erreichbar ist. Beachten Sie auch, dass nicht alle Services in Ihrer Instanz redundant für konfiguriert werden können. Wenn Sie einen VPN-Tunnel für etwas anderes als LDAP verwenden und Redundanz erforderlich ist, überprüfen Sie, ob Ihre Konfiguration mehrere Adressen unterstützt, oder sehen Sie sich die erste Option oben an.

    Alternativen zur Verwendung eines VPN

    Diese Alternativen bieten eine einfachere Möglichkeit, Ihre Instanz mit den Ressourcen in den ServiceNow -Rechenzentren zu verbinden, und bieten eine bessere Verschlüsselung. Darüber hinaus können Sie Probleme vermeiden, die durch VPN-Ausfallzeiten verursacht werden können, z. B. wenn Ihre Instanz bei einem Problem mit dem VPN-Tunnel für Benutzer nicht verfügbar ist.

    Single Sign-on und MID-Server

    Erwägen Sie die Verwendung einer Kombination aus Single Sign-on (SSO) für die Authentifizierung und dem MID Server für die Synchronisierung von Benutzerdaten, anstatt ein VPN zu verwenden, um Ihren LDAP-Server mit Ihrer Instanz zu verbinden. Erwägen Sie für andere Integrationen als LDAP die Verwendung der zertifikatsbasierten Verschlüsselung.

    Sie können den LDAP-Listener auf einem MID-Server verwenden, um Ihre Benutzertabelle nahezu in Echtzeit zu synchronisieren.

    Der Vorteil dieses Ansatzes besteht darin, dass keine Firewall-Lücken, Routen, VPN-Tunnel oder andere spezielle Netzwerkeinstellungen konfiguriert und verwaltet werden müssen. Die SSO/MID-Server-Lösung ist die flexibelste, sicherste und kosteneffektivste Methode, um eine vollständige LDAP-Integration zu erreichen.

    LDAP über SSL
    Eine weitere Alternative zur Verwendung eines VPN-Tunnels besteht in der Konfiguration von LDAP Over SSL (LDAPS) direkt über das Internet. Sie können einen schreibgeschützten Domänencontroller konfigurieren und die Instanz in Ihrer DMZ sperren, indem Sie nur die Quelladressen der Instanz und die Zielports Ihrer Wahl verwenden. Da die Ports für LDAP in Ihrer Instanz konfigurierbar sind, können Sie bei Bedarf eine Portadressübersetzung (Port Address Translation, PAT) durchführen. Mit LDAPS steuern Sie das Zertifikat, das über einen verschlüsselten Kanal in die Instanz hochgeladen wird (siehe Ein Zertifikat wird in eine Instanz hochgeladen). Die Pakete können ohne das Zertifikat nicht verschlüsselt oder entschlüsselt werden.

    Der Vorteil dieses Ansatzes besteht darin, dass er einen stärkeren Verschlüsselungs- und Entschlüsselungsmechanismus bietet. Ein VPN kann den Datenverkehr zwischen den beiden Partnern im Internet nur mit einem koordinierten vorinstallierten Schlüssel verschlüsseln und entschlüsseln, ähnlich einem Passwort. LDAPS bietet einen längeren verschlüsselten Pfad (End-to-End) auf Anwendungsebene und mit einem Zertifikat, das weitaus komplizierter ist als ein vorinstallierter Schlüssel, den der IPSec-Tunnel verwendet.

    VPN-Setup

    Ab dem Zeitpunkt, zu dem eine VPN-Anforderung gesendet wird, dauert es normalerweise maximal eine Woche, bis der VPN-Build abgeschlossen ist. Zur Unterstützung der Redundanzanforderungen Ihrer Instanz und Ihrer Organisation werden mindestens zwei und maximal vier VPNs bereitgestellt (vom aktiven Standort zu Ihrem aktiven Standort oder vom aktiven Standort zu Ihrem DR-Standort usw.).

    Es wird empfohlen, die Verschlüsselungsdomäne so spezifisch wie möglich zu gestalten. Idealerweise enthält die Verschlüsselungsdomäne nur die spezifischen Hosts, die für die Integrationen erforderlich sind. Eine große Verschlüsselungsdomäne kann Möglichkeiten für Routing-Diskrepanzen schaffen (VPN vs. Internet).

    Um das VPN zu erstellen, führt die Instanz folgende Schritte aus:
    1. Stellt die VPN-Peer- und Hostadressen aus jedem Rechenzentrum bereit.
    2. Erstellt die erforderliche VPN-Konnektivität von zwei Rechenzentren in Ihrem Netzwerk. Zur Unterstützung der Redundanz- und Notfallwiederherstellungsanforderungen (Disaster Recovery, DR) können die VPNs von zwei Rechenzentren in zwei Netzwerken bereitgestellt werden.

    Die Instanz unterstützt nicht den Aufbau mehrerer VPN-Tunnel in einem Kundennetzwerk, um eine Verbindung zu mehreren geografischen Regionen oder Tochterunternehmen herzustellen. Sie sollten standortübergreifendes Routing, Datenverkehrsverteilung oder Datenverkehrsformung in Ihrem eigenen internen Netzwerk durchführen, anstatt über mehrere VPN-Tunnel zu verfügen.