Opciones de Conectividad en AWS: VPN y DirectConnect

Clase 13 de 80 • Curso AWS Cloud Practitioner Certification

Resumen

¿Cuáles son las opciones de conectividad en AWS?

Cuando decidimos llevar nuestras operaciones a la nube de Amazon Web Services (AWS), una de las decisiones importantes que debemos tomar es cómo establecer la conectividad entre nuestro data center on-premises y la nube. En esta lección, exploraremos las dos principales opciones de conectividad que AWS nos ofrece: el uso de una VPN y el servicio Direct Connect. Entender estas alternativas es crucial, ya que cada una tiene ventajas y desventajas que pueden influir en la seguridad, la velocidad y el costo de nuestras operaciones en la nube.

¿Cómo funciona una VPN en AWS?

Una VPN, o Red Privada Virtual, es una de las soluciones más seguras para establecer conexión entre nuestra infraestructura local y AWS. La VPN facilita una conexión cifrada a través de internet, asegurando que los datos transmitidos entre el data center y la nube estén protegidos.

Conexión segura y cifrada: Todos los paquetes que viajan a través de esta conexión están cifrados, lo que garantiza que los datos sean seguros en todo momento.
Requiere dos componentes clave:
- Customer Gateway (CGW): Puede ser hardware o software de firewall en el lado del cliente. Permite la conectividad con AWS. Algunos fabricantes reconocidos incluyen Fortinet, SonicWall, Palo Alto, y Cisco.
- Virtual Private Gateway (VPG): Localizado del lado de AWS, administra el tráfico que fluye entre la nube y el data center on-premises.

Este enfoque se asemeja a viajar por una carretera pública: todos los paquetes comparten el mismo camino que otros datos que transitan por internet, lo que puede impactar en latencia y riesgos inherentes al tráfico compartido.

¿Qué es AWS Direct Connect y cómo se compara?

AWS Direct Connect representa una alternativa superior para las organizaciones que necesitan atributos específicos, como menores latencias y ancho de banda dedicado. Este servicio permite una conexión directa, sin pasar por internet público, entre los recursos on-premises y AWS.

Conexión dedicada: Esta opción otorga un canal exclusivo entre tu empresa y la nube de AWS, mejorando drásticamente la velocidad y reduciendo la latencia.
Menor latencia y mayor rendimiento: Al no compartir esta carretera privada con otros usuarios, se incrementa la eficiencia en el tráfico de datos.
Costos más elevados: A pesar de sus ventajas tecnológicas, es importante mencionar que Direct Connect puede resultar más costoso debido al mantenimiento y configuración de una red dedicada.

Imaginemos esto como si construyéramos una autopista exclusiva entre el data center y AWS, donde solo nuestros datos tienen acceso. Mientras que esta opción reduce riesgos y mejora la eficiencia, el costo es un factor a considerar.

¿Cuál opción elegir al migrar cargas críticas a la nube?

La decisión entre usar una VPN o Direct Connect depende del balance entre seguridad, velocidad y costo que tu organización esté dispuesta a asumir. Consideremos un escenario donde trabajas para una empresa del sector financiero, que migra sus operaciones a la nube y necesita:

Seguridad elevada para proteger información financiera.
Alta velocidad para minimizar latencias en transacciones.
Presupuesto amplio que permite invertir en costos operacionales.

En este caso, Direct Connect sería la opción preferible debido a su capacidad de entregar conexiones más rápidas y seguras sin preocuparse del costo. Este es solo un ejemplo de cómo puedes aplicar estos conocimientos en contextos del mundo real.

La elección de la conectividad adecuada puede optimizar no solo la seguridad y la velocidad, sino también los costos de operación en la nube de AWS. ¡Aprender y aplicar estos conceptos te preparará para tomar decisiones informadas y estratégicas en tu migración y gestión de servicios en la nube!

Irving Juárez

student•

La arquitectura de Direct Connect realmente no es tan simple como se mostro en la clase. Para tener un canal dedicado, necesitamos algun tipo de infraestructura fisica que nos permita tener esa coneccion privada.

La solución son terceros que prestan el servicio de cables de banda ancha que conectan a nuestros servidores on-premise con algun data center de AWS

Estos terceros se les conoce como Direct Connect Locations.

Kevin Guzman

student•

Es decir que el DX funciona igual que con el customer gateway, solo que un tercero nos brindará la conexión por una linea privada, pero igual tendrá otras empresas con conexiones privadas que en algún punto tendrán el mismo customer gateway a AWS, es decir, humo

Sebastián Arcila Sánchez

student•

Opciones de conectividad: se hace referencia a una VPN que permite lograr conectividad de la nube con nuestro data center onPremise.

Conexión cifrada y segura a través de internet

Customer Gateway (CGW): dispositivo o software en tu red local que establece y mantiene la conexión VPN con la VPC. Actúa como firewall: permite desde el lado del cliente la conectividad con la VPC.

Virtual Private Gateway: componente de AWS que permite administrar el tráfico y configurar políticas de tráfico de la nube hacia nuestro data center: Ejemplo: Tenemos VPC y una oficina. El primer componente VPG está al lado de AWS (VPC). Por el lado del cliente (oficina), tenemos el CGW (Customer Gatway dentro del cual tenemos el firewall). Ambos VPG + CGW se conectan a través de internet, que a pesar de ir cifrado y seguro, va por un canal donde viajan todos los paquetes de internet.

Direct Connect (DX): conexión dedicada desde tu red local o centro de datos a AWS. Mejora el rendimiento de la red. Reduce la latencia. No va a viajar cifrado por defecto, pero se puede cifrar la información. Analogía: Carlos construye una carretera exclusiva para él solo para transportarse de la universidad a su casa.

Aylin Fernanda Yepez Granados

student•

Direct Connect

Vanessa Rivas

student•

✅ ¿Tener una cuenta en AWS es suficiente para una conexión segura?

No necesariamente. Tener una cuenta en AWS te permite crear recursos (EC2, S3, RDS, etc.) y gestionar todo desde la consola web, pero eso no significa que tu red local esté conectada automáticamente ni de forma segura con la nube.

Cuando trabajas con AWS desde un entorno empresarial y necesitas que tus servidores, aplicaciones o bases de datos en on-premises (es decir, en tus oficinas o data center) se comuniquen directamente con tus recursos en la nube, necesitas una vía de conectividad segura.

🔐 Entonces, ¿cuándo se necesita VPN o Direct Connect?

Depende del caso, pero aquí tienes una guía sencilla:

**Situación¿Necesito VPN o Direct Connect?**Solo uso la consola de AWS desde el navegador❌ No Mis apps o servidores locales deben hablar con AWS (por ejemplo, consultas a una base de datos en la nube)✅ Sí Estoy migrando datos desde mi red local a AWS✅ Sí Solo uso servicios como S3 de forma ocasional🔄 Depende, puede valer con HTTPS y sin VPN

🔒 ¿AWS ya es seguro por sí mismo?

Sí, AWS tiene una infraestructura muy segura, con cifrado en tránsito y en reposo, firewalls, IAM (gestión de identidades), etc. Pero la conexión entre tu empresa y AWS es tu responsabilidad, y ahí es donde entran:

🔸 VPN: conexión cifrada a través de internet (más barata, fácil de montar).
🔸 Direct Connect: conexión física y dedicada (más cara, muy rápida y estable).

🧭 ¿Existen otras alternativas de conectividad además de VPN y Direct Connect?

Sí, aunque VPN y Direct Connect son las principales opciones empresariales, hay otras alternativas o variantes, según tus necesidades:

🔹 1. AWS Site-to-Site VPN

Esta es una VPN "corporativa". No es una app, sino una conexión cifrada entre tu red y AWS, pensada para tráfico entre redes completas.

🔹 2. AWS Client VPN

Esta sí es una VPN que puedes instalar como cliente (app en tu ordenador). Está pensada para que los usuarios (empleados, administradores) puedan conectarse desde sus ordenadores personales a la red de tu empresa en AWS.

🔐 Ideal para teletrabajo seguro.
AWS te provee el servidor, y tú controlas quién puede conectarse.

🔹 3. Transit Gateway

Es una solución más avanzada que permite interconectar múltiples VPCs, VPNs y Direct Connects de forma centralizada. Ideal para empresas grandes con muchas redes.

🔹 4. AWS PrivateLink

Permite conectar tu red local con servicios de AWS sin usar direcciones públicas. Es muy útil para servicios internos o de terceros (por ejemplo, conectarte a un proveedor SaaS en la nube de forma privada).

🤔 Entonces... una VPN, ¿es como las que me puedo descargar de internet?

No exactamente. Hay una gran diferencia:

VPN comercial (ExpressVPN, NordVPN, etc.) Sirve para navegar de forma privada en internet Se usa como app en el ordenador o móvil Cifra tu conexión a internet general No es adecuada para empresas VPN corporativa en AWS Sirve para conectar tu red local con la nube Requiere configuración técnica entre redes Cifra el tráfico entre tu empresa y AWS Es lo que necesita una empresa para trabajar con AWS

🛠️ ¿Amazon provee su propia VPN?

Sí. Amazon no solo lo permite, te da herramientas para gestionarla:

AWS Site-to-Site VPN: para conexiones entre tu red local y AWS.
AWS Client VPN: para accesos remotos de usuarios.
Puedes gestionar todo desde la consola de AWS: certificados, permisos, logs, etc.

Kevin Guzman

student•

Sería Direct Connect DX

Mario Alexander Vargas Celis

student•

🌐 Opciones de Conectividad de Red en AWS

AWS ofrece diversas formas de conectar tu infraestructura con la nube, dependiendo de los requerimientos de seguridad, latencia y costos. A continuación, te presento las principales opciones de conectividad en AWS.

🔹 1. Conectividad Pública (Internet Gateway - IGW)

💡 ¿Qué es? Permite que los recursos en una subred pública dentro de una VPC accedan a Internet y sean accesibles desde Internet.

✅ Casos de uso:

Servidores web públicos (por ejemplo, un sitio web en EC2).
Aplicaciones que requieren acceso a Internet.

🔗 Configuración:

Se necesita un Internet Gateway (IGW) adjunto a la VPC.
Las instancias deben tener una Elastic IP o una IP pública asignada.
La Tabla de Rutas debe incluir 0.0.0.0/0 apuntando al IGW.

📌 Ejemplo de Configuración en AWS CLI:

aws ec2 create-internet-gateway aws ec2 attach-internet-gateway --internet-gateway-id igw-xxxxxxxx --vpc-id vpc-xxxxxxxx aws ec2 create-route --route-table-id rtb-xxxxxxxx --destination-cidr-block 0.0.0.0/0 --gateway-id igw-xxxxxxxx

🔹 2. Conectividad Privada con NAT Gateway

💡 ¿Qué es? Permite que las instancias en una subred privada dentro de una VPC accedan a Internet sin ser accesibles desde Internet.

✅ Casos de uso:

Instancias EC2 que requieren actualizaciones de software.
Servidores de bases de datos que necesitan acceso a repositorios sin exposición pública.

🔗 Configuración:

Se necesita un NAT Gateway en una subred pública.
La Tabla de Rutas de la subred privada debe dirigir 0.0.0.0/0 al NAT Gateway.

📌 Ejemplo de Configuración en AWS CLI:

aws ec2 create-nat-gateway --subnet-id subnet-xxxxxxxx --allocation-id eipalloc-xxxxxxxx aws ec2 create-route --route-table-id rtb-xxxxxxxx --destination-cidr-block 0.0.0.0/0 --nat-gateway-id nat-xxxxxxxx

🔹 3. VPN Site-to-Site

💡 ¿Qué es? Conexión cifrada entre una red local (on-premises) y AWS a través de una VPN IPsec.

✅ Casos de uso:

Empresas que desean extender su red local a AWS.
Conexión segura para sistemas internos sin exponer servicios a Internet.

🔗 Configuración:

Se necesita un Customer Gateway (CGW) para definir la dirección IP del extremo local.
Se configura un Virtual Private Gateway (VGW) o AWS Transit Gateway.
Se establece una conexión VPN.

📌 Ejemplo de Configuración en AWS CLI:

aws ec2 create-customer-gateway --type ipsec.1 --public-ip <IP_PUBLICA_ON_PREMISES> aws ec2 create-vpn-connection --type ipsec.1 --customer-gateway-id cgw-xxxxxxxx --vpn-gateway-id vgw-xxxxxxxx

🔹 4. AWS Direct Connect (DX)

💡 ¿Qué es? Conexión privada y dedicada entre un datacenter on-premises y AWS, evitando el uso de Internet.

✅ Casos de uso:

Empresas con requerimientos de baja latencia y alta velocidad.
Cumplimiento de normativas que exigen conexiones privadas.

🔗 Configuración:

Se debe contratar un proveedor de Direct Connect.
Se configura un Virtual Private Gateway (VGW).
Se crea un Direct Connect Gateway.

📌 Ejemplo de Configuración en AWS CLI:

aws directconnect create-connection --location <UBICACIÓN> --bandwidth 1Gbps --connection-name MiConexionDX

🔹 5. AWS PrivateLink

💡 ¿Qué es? Permite el acceso a servicios de AWS o de terceros sin exponer tráfico a Internet.

✅ Casos de uso:

Conexión segura a servicios como Amazon S3 o RDS.
Comunicación entre VPCs o cuentas de AWS sin necesidad de VPC Peering.

🔗 Configuración:

Se configura un Endpoint de VPC en la subred.
Se asocia el endpoint con un servicio de AWS o un servicio privado.

📌 Ejemplo de Configuración en AWS CLI:

aws ec2 create-vpc-endpoint --vpc-id vpc-xxxxxxxx --service-name com.amazonaws.us-east-1.s3 --vpc-endpoint-type Interface

🔹 6. VPC Peering

💡 ¿Qué es? Conexión privada entre dos VPCs en la misma región o diferentes regiones sin necesidad de Internet.

✅ Casos de uso:

Empresas con múltiples VPCs en AWS que necesitan comunicación interna.
Compartir recursos entre cuentas de AWS.

🔗 Configuración:

Se crea una solicitud de VPC Peering entre dos VPCs.
Ambas VPCs deben actualizar sus Tablas de Rutas.

📌 Ejemplo de Configuración en AWS CLI:

aws ec2 create-vpc-peering-connection --vpc-id vpc-xxxxxxx --peer-vpc-id vpc-yyyyyyy aws ec2 accept-vpc-peering-connection --vpc-peering-connection-id pcx-xxxxxxxx

🔹 7. AWS Transit Gateway

💡 ¿Qué es? Permite conectar múltiples VPCs y conexiones VPN a través de un solo punto centralizado.

✅ Casos de uso:

Empresas con múltiples VPCs que necesitan comunicación eficiente.
Conexiones híbridas con múltiples sitios on-premises.

🔗 Configuración:

Se crea un Transit Gateway.
Se asocian las VPCs al Transit Gateway.
Se configuran Tablas de Rutas.

📌 Ejemplo de Configuración en AWS CLI:

aws ec2 create-transit-gateway --description "Mi Transit Gateway" aws ec2 associate-transit-gateway-route-table --transit-gateway-id tgw-xxxxxxxx --vpc-id vpc-xxxxxxxx

🎯 Conclusión: ¿Cuál Opción Elegir?

OpciónCaso de Uso**Internet Gateway (IGW)**Acceso público a Internet desde una VPC.NAT GatewayPermitir que las subredes privadas accedan a Internet sin exposición.VPN Site-to-SiteConexión segura entre una oficina on-premises y AWS.**Direct Connect (DX)**Conexión privada de alta velocidad entre AWS y una empresa.AWS PrivateLinkAcceso privado a servicios de AWS sin exponer tráfico a Internet.VPC PeeringComunicación entre dos VPCs sin pasar por Internet.AWS Transit GatewayConectar múltiples VPCs y redes on-premises de forma centralizada.

Oscar Fernández

student•

Direct Connect (DX)

Daniel Hurtado Jimenez

student•

El servicio de AWS que permite establecer una conexión de red dedicada entre el centro de datos local de una empresa y la nube de AWS es AWS Direct Connect. Este servicio proporciona una conexión privada y dedicada, mejorando el rendimiento y disminuyendo la latencia en comparación con una conexión a través de internet, como lo haría una VPN. Con Direct Connect, las empresas pueden tener una conexión más rápida y segura a los servicios de AWS.

Cristofer Vargas Morales

student•

Consulta: ¿Una VPN o AWS Direct Connect también se emplean en un contexto de Outpost?

Una VPN y AWS Direct Connect pueden ser utilizados en un contexto de AWS Outpost, que extiende la infraestructura de AWS a ubicaciones locales.

Una VPN proporciona una conexión segura y cifrada a través de Internet, ideal para recursos en la nube. Por otro lado, Direct Connect ofrece una conexión dedicada, mejorando el rendimiento y reduciendo la latencia, lo que es beneficioso para cargas de trabajo sensibles.

Ambas opciones permiten la comunicación entre Outpost y la nube de AWS de manera eficiente, dependiendo de los requerimientos de seguridad y rendimiento de la empresa.

Juan Cruz Carrea

student•

DX direct Connect

Mario Castillo

student•

Direct Connect!

Ruben Galindo

student•

Direct Connect...

Marco Antonio Candia Ortega

student•

Direct Connect para conectividad de servicios bancarios

Jenny Alexandra Moreno Pedraza

student•

direct connect

Mario Esteban Vargas Pisco

student•

Direct Connect

Miguel Angel Reyes Moreno

student•

Opciones de conectividad de red

Virtual Private Network (VPN)

Es una conexión segura y encriptada que permite conectar tu infraestructura local a una VPC.
Esta conexión se establece sobre Internet.

Customer Gateway

Es el dispositivo o software en tu red local que establece y mantiene la conexión VPN con la VPC.
Puede ser un dispositivo de hardware o un software VPN en un servidor.

Virtual Private Gateway

Componente de AWS que se conecta a la Customer Gateway.
Administra el tráfico encriptado entrante y saliente de la VPC y establece las políticas de enrutamiento.

Direct Connect (DX) → Esto es más caro

Conexión dedicada desde tu red local o centro de datos a AWS.
Mejora la consistencia y el rendimiento de la red al evitar la congestión de la red pública y reducir la latencia.

<aside> 💡

Pregunta de examen:

Trabajas para una empresa del sector financiero que está migrando sus datos a la nube. Pero como la información financiera es muy sensible, necesitas elegir la opción de conectividad a la nube con tu datacenter que sea muy segura, muy rápida. Además, no hay problema con el costo que genere el canal. ¿Cuál opción eliges?

Virtual Private Gateway (VPG)
Direct Connect (DX) → es mejor en este caso </aside>

Ruth Lucy Campos Huamantica

student•

Direct Connect

David Rosas

student•

Para ilustrar un diagrama de conectividad en AWS, considera lo siguiente:

VPN (VPGW y CGW):
- VPGW (Virtual Private Gateway): Se ubica en AWS.
- CGW (Customer Gateway): Se ubica en tu red on-premise (puede ser un firewall).
- La conexión se realiza a través de Internet, representando una carretera compartida.

  [CGW] -----> [Internet] -----> [VPGW]

Direct Connect (VPGW y CGW):
- VPGW: Igual que antes, en AWS.
- CGW: También en tu red on-premise.
- La conexión es dedicada, como una carretera privada.

  [CGW] -----> [Direct Connect] -----> [VPGW]

Estos diagramas muestran cómo se establece la conectividad segura en AWS entre tu infraestructura y la nube.

Marlon Isaac Hernández García

student•

Direct Connect

Oscar Roa

student•

En AWS, una VPN (Virtual Private Network) es una solución que permite crear una conexión segura y cifrada entre una red local (on-premises) y una Virtual Private Cloud (VPC) en AWS. Esto permite que los recursos en la red local y en la VPC se comuniquen de manera segura a través de Internet, como si estuvieran en la misma red interna privada, lo que facilita la integración y la expansión de infraestructuras locales con la nube.

AWS Direct Connect es un servicio que permite establecer una conexión de red dedicada y privada entre tu infraestructura local (on-premises, centros de datos, oficinas, etc.) y Amazon Web Services (AWS). A diferencia de una VPN que utiliza Internet para conectar las redes, Direct Connect proporciona una conexión física, directa y segura a la nube de AWS, lo que ofrece más velocidad, consistencia, y menor latencia.