Conectar el Datacenter a AWS: IPSec VPN o AWS Direct Connect?

Al buscar formas de conectar el Datacenter corporativo a la implementación de AWS, ¿qué debe utilizar: AWS Direct Connect o VPN IPSec?

Tanto AWS Direct Connect como una VPN IPSec proporcionan conectividad segura entre su Datacenter y AWS. El servicio AWS Direct Connect proporciona un mecanismo para que los clientes establezcan una red dedicada desde su nube privada o centro de Datacenter en los locales a AWS.

Esto proporciona conectividad dedicada con los niveles de rendimiento otorgados por el proveedor de servicios del cliente. La conexión dedicada termina en el hardware administrado por el cliente que se encuentra en una ubicación de AWS Direct Connect. A partir de ese momento, una o más VLAN 802.1 q completan la conexión en el cliente VPCs.

Por el contrario, una VPN IPSec proporciona un túnel encriptado desde el centro de la misma hasta el VPC del cliente, incluso cuando se utiliza Direct Connect. Esto proporciona una capa adicional de seguridad para el tráfico de red y también permite a los clientes extender su esquema de direcciones IP a su VPC AWS. En este escenario, la solución híbrida Cloud no se diferencia de la perspectiva del cortafuegos de la serie VM que si se utilizara Internet en lugar de Direct Connect.  Esto también simplifica el enrutamiento, y en el caso de un error, un protocolo de enrutamiento dinámico como OSPF o BGP puede reconverger rápidamente con un downtime mínimo.

Para obtener la máxima seguridad y flexibilidad en una arquitectura de nube híbrida, se recomiendan túneles IPsec que terminen en el cortafuegos de la serie VM, incluso cuando se utilice Direct Connect. Puede encontrar más información sobre este servicio en:
https://AWS.Amazon.com/DirectConnect/