Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda> Virtual Private Network> Descripción general del servicio> Seguridad> Tecnologías de protección de datos
Actualización más reciente 2023-01-11 GMT+08:00
Ver PDF

Tecnologías de protección de datos

  • La capacidad de VPN IPsec de sitio a sitio se proporciona para admitir la transmisión cifrada del tráfico de datos entre su red local y una VPC en la nube, asegurando su acceso a la nube.

    IPsec VPN es una tecnología de túnel que proporciona seguridad de capa IP mediante el conjunto de protocolos IKE/IPsec. Garantiza la confidencialidad y la integridad de los paquetes de datos IP y evita que sean interceptados, divulgados o manipulados en redes inseguras (como Internet).

  • Al crear una conexión VPN IPsec, puede configurar los algoritmos de encriptación y autenticación para el tráfico de datos en una política IPsec.

    Se soportan algoritmos criptográficos comerciales comunes. Los algoritmos recomendados se enumeran de la siguiente manera en orden descendente de seguridad:

    • Algoritmos de encriptación:
      • AES-256-GCM-16 (soportado solo por VPN)
      • AES-128-GCM-16 (soportado solo por VPN)
      • AES-256
      • AES-192
      • AES-128
    • Algoritmos de autenticación:
      • SHA2-512
      • SHA2-384
      • SHA2-256

PFS

Perfect Forward Secrecy (PFS) asegura que el compromiso de las claves de un túnel IPsec no afecta la seguridad de otros túneles al aprovechar que las claves de estos túneles son irrelevantes entre sí. De forma predeterminada, PFS está habilitado para el servicio VPN.

Cada conexión IPsec VPN consiste en al menos un túnel IPsec, cada uno de los cuales utiliza un conjunto independiente de claves para proteger el tráfico de usuario.

Se soportan algoritmos PFS comunes. Los algoritmos recomendados son los siguientes:

  • DH group 14
  • DH group 15
  • DH group 16
  • DH group 19
  • DH group 20
  • DH group 21
Figura 1 PFS

Anti-replay

Anti-replay utiliza números de secuencia para proteger los paquetes cifrados IPsec contra ataques de repetición, que se inician enviando repetidamente paquetes de datos interceptados. De forma predeterminada, la función anti-replay está habilitada para el servicio VPN.

Figura 2 Replay attack

Aislamiento de datos

Una puerta de enlace de VPN es exclusiva para un inquilino. Como tal, los inquilinos están aislados de cada uno, lo que garantiza la seguridad de los datos.

El aislamiento de datos solo es compatible con VPN, pero no con Classic VPN.

Figura 3 Aislamiento de datos

Como se muestra en la figura, un fallo de la puerta de enlace VPN del cliente A no tiene impacto en la puerta de enlace VPN del cliente B.

Tema principal: Seguridad