Friday, 30 January 2015

VPN IPSec entre Google Compute Engine e Fortigate


Muitas vezes há necessidade em conexão de seu datacenter na nuvem e seu ambiente interno, assim uma boa alternativa técnica e financeira é a criação de túneis VPN entre o datacenter e sua Matriz ou seus escritórios.
 Saída de Emergência

Hoje quero compartilhar com vocês um case de sucesso com túnel VPN IPSec, entre a estrutura Google Compute Engine(GCE) e UTM Fortigate 100D.

Neste exemplo prático de configuração que iremos detalhar, omiti informações quanto a estrutura interna do Google Compute Engine, como rede interna e firewall principal, sendo que iremos focar apenas no ambiente necessário para configuração da VPN entre o GCE e Fortigate 100D.

O ambiente Google Compute Engine, no momento da escrita deste artigo, apresenta uma versão Alpha de um concentrador VPN, porém nosso objetivo aqui é demonstrar a configuração VPN utilizando uma instância interna do GCE como concentrador VPN.

Como concentrador VPN IPSec dentro da estrutura do GCE criamos uma máquina virtual, ou instância, onde utilizamos o sistema operacional Debian7-Wheezy em conjunto com o VPN Server StrongSwan.

O objetivo desta VPN é permitir que a matriz e filiais do cliente, possam acessar uma determinada aplicação em um servidor Windows 2008 R2, que foi instanciado dentro da estrutura do Google Compute Engine.

Este cenário talvez não seja adequado para seu ambiente, sempre vale estudo profundo quanto as questões de segurança envolvidas, fique a vontade em nos consultar caso deseje montar um cenário semelhante.

As configurações que seguem abaixo são funcionais, validadas e se encontram no momento em ambiente de produção.

STRONGSWAN (/etc/ipsec.conf)
config setup 
conn myconn
 authby=psk
 auto=start
 dpdaction=hold
 esp=aes128-sha1-modp2048!
 forceencaps=yes
 ike=aes128-sha1-modp2048!
 keyexchange=ikev2
 mobike=no
 type=tunnel
 left=%any
 leftid=130.X.Y.Z
 leftsubnet=10.120.0.0/16
 leftauth=psk
 leftikeport=4500
 lifetime=600s
 ikelifetime=600s
 rekey=no
 right=186.A.B.C
 rightsubnet=192.168.224.0/24
 rightauth=psk
 rightikeport=4500

FORTINET (Configuration)
config vpn ipsec phase1-interface
   edit "togce"
       set interface "port1"
       set ike-version 2
       set keylife 600
       set proposal aes128-sha1
       set dhgrp 14
       set remote-gw 130.X.Y.Z
   next
end
config vpn ipsec phase2-interface
   edit "gcenet"
       set phase1name "togce"
       set proposal aes128-sha1
       set dhgrp 14
       set keepalive enable
       set auto-negotiate enable
       set keylifeseconds 600
       set src-subnet 192.168.224.0 255.255.255.0
       set dst-subnet 10.120.0.0 255.255.0.0
   next
end


Caso necessite montar um ambiente de segurança com uso de VPN, ou então queira conhecer um pouco mais sobre os benefícios financeiros e técnicos que a computação em nuvem pode trazer para a sua empresa, fique a vontade em nos contatar.

Utilize sempre a sua Saída de Emergência!

Wednesday, 21 January 2015

Google Cloud Platform - Compute Engine


Saída de Emergência


Nos últimos meses participamos de vários projetos de implantação e operação de algumas soluções de computação em nuvem disponíveis no mercado, neste trabalho intenso uma das soluções que nos chamou a atenção devido facilidade de implantação e operação, e sobretudo pelo baixo custo operacional é o Compute Engine que é um dos componentes do Google Cloud Platform, assim quero compartilhar com vocês alguns dos pontos fortes desta solução.


  • Máquinas Virtuais de Alto Desempenho
    • Com apenas alguns clicks, você define a quantidade de processadores necessários para sua aplicação, memória e capacidade de disco, ou seja, você tem a liberdade em escolher entre uma micro-VM ou uma instância virtual de grande porte.
    • Pode escolher também o sistema operacional, dentre estes Debian, RedHat, Windows Server, CentOS, dentre outros.
    • Além do mais você ainda pode criar clusters computacionais que se beneficiam de largura de banda robustas e consistentes entre as suas máquinas virtuais.
  • Pague apenas pelo que usa
    • No ambiente Compute Engine o faturamento é realizado em incrementos de minutos (com uma cobrança mínima de 10 minutos).
    • Você não paga pelo tempo de computação não utilizado!
  • Provisionamento Rápido e Fácil
    • Implante rapidamente grandes clusters de máquinas virtuais com ferramentas intuitivas.
    • Para aqueles que preferem seu acesso via console é incluso também a API RESTful, que realiza a interface de linha de comando e console baseado na Web.
  • Balanceamento de Tráfego
    • Para as aplicações e ambientes que exigem, mais performance, throughput e disponibilidade, o ambiente permite o balanceamento de seus servidores e aplicações entre os diversos datacenter localizados no mundo.
  • Segurança e Conformidade
    • Todos os dados gravados nos discos do ambiente Compute Engine são criptografados.
    • Esta plataforma atingiu as certificações ISO 27001, SSAE-16, SOC 1, SOC 2 e 3 SOC.

No próximo artigo iremos apresentar detalhes técnicos sobre implantação de um ambiente, com uso de VPN-IPSec através de Fortigate nos sites e StrongSwan na estrutura do Compute Engine.

Quer saber um pouco mais sobre computação em nuvem?

Procure sempre pelos especialistas da Saída de Emergência!