3. conectando o seu data center de forma segura na aws
TRANSCRIPT
![Page 1: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/1.jpg)
São Paulo
![Page 2: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/2.jpg)
Conectando o seu
Data Center na AWS
Alex Coqueiro
Arquiteto de Soluções para o Setor Público
![Page 3: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/3.jpg)
Agenda
• Paradigma dos Data Centers
• Conceitos de uma VPC (Virtual Private Cloud)
• Casos de uso para VPC
• Componentes da VPC
• Melhores Práticas
![Page 4: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/4.jpg)
Paradigma dos Data Center
©2015, Amazon Web Services, Inc. or its affiliates. All rights reserved
![Page 5: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/5.jpg)
Data Center
Corporativo
![Page 6: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/6.jpg)
Data Center
Corporativo
![Page 7: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/7.jpg)
Data Center
Corporativo
![Page 8: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/8.jpg)
Construir um data center…
grande tempo gasto em construção e
operacionalização
![Page 9: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/9.jpg)
Amazon VPC
![Page 10: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/10.jpg)
Data Center
Corporativo
Projeto ZAprovado
![Page 11: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/11.jpg)
Data Center
Corporativo
Finalizado
Projeto XAprovado
![Page 12: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/12.jpg)
Data Center
Corporativo
Projeto XAprovado
Projeto YAprovado
![Page 13: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/13.jpg)
Data Center
Corporativo
Extensão do DC com Recursos Integrados
![Page 14: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/14.jpg)
Mais simples … Ele é um Data
Center Virtual que você pode
construir e gerenciar na AWS!
![Page 15: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/15.jpg)
Casos de Uso de uma VPC
©2015, Amazon Web Services, Inc. or its affiliates. All rights reserved
![Page 16: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/16.jpg)
Aplicações Web Públicas
Object Storage
CDN
User
Web
DNS
http://www.example.com
Internet Gateway
![Page 17: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/17.jpg)
Aplicações Privadas
Internal
User
VPN Gateway
Router / Firewall
Corporate Data Center
http://internal-app
Web
VPN over
the Internet
![Page 18: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/18.jpg)
Data Center virtual na AWS
Active Directory
Configuração de Rede
Encriptação
Backup
Apps on-premises
Usuários e Grupos
Rede Privada
HSM appliance
Cloud backups
Cloud apps
AWS Direct Connect
Data Center Corporativo
![Page 19: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/19.jpg)
Web
Server
Application
Server
DB
Server
Data Volume
EC2 Web
Server
EC2
Application
Server
EC2 DB
Server
Amazon Elastic Block
Store (EBS) Data Volume
Data Mirroring /
Replication
Instancias estão
paradase são
inicializadas
somente se
aplicação primária
está indisponiível
Amazon Route 53
User
Corporate Data Center
Repoint DNS in an
Outage
DR (Disaster Recovery)
![Page 20: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/20.jpg)
DemoCriação de uma VPC
![Page 21: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/21.jpg)
Componentes da VPC
©2015, Amazon Web Services, Inc. or its affiliates. All rights reserved
![Page 22: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/22.jpg)
Componentes da VPC
Route table Elastic network
interface
Amazon VPC RouterInternet
gateway
Customer
gateway
Virtual
private
gateway
VPN
connectionSubnet
Elastic IP
![Page 23: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/23.jpg)
• Range de IP’s na VPC
• Reside em uma AZ
• Segurança com ACL
(access control lists)
• Pode rotear pacotes entre
subnets
• Default VPC subnets
VPC subnet
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
VPC CIDR: 10.1.0.0 /16
![Page 24: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/24.jpg)
• IGW = Internet Gateway
• Habilita a sua instância
conectar a Internet
• Default VPC inclui IGW
Internet Gateway
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
Internet
Gateway
VPC CIDR: 10.1.0.0 /16
InternetAWS Public
API Endpoints
![Page 25: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/25.jpg)
• VGW = virtual private gateway
• A VPG é uma construção lógica
que representa um endpoint
para conexões com on-
premises
Virtual Private Gateway
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
VPC CIDR: 10.1.0.0 /16
Internal
User
VPN Gateway
Customer Gateway
Corporate Data Center
VPN over
the Internet
![Page 26: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/26.jpg)
• CGW = customer gateway
• Dispositivo fisico ou software
appliance do seu lado para
fechar a conexão de VPN
• Tipicamente um roteador ou
firewall
Customer Gateway
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
VPC CIDR: 10.1.0.0 /16
Internal
User
VPN Gateway
Customer Gateway
Corporate Data Center
VPN over
the Internet
![Page 27: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/27.jpg)
• Contem um conjunto de regras
para rotas que são utilizadas
para determinar o tráfego de
rede
• Cada Subnet tem somente
uma tabela rota
• Controla rotas entre IGW e
VGW
• Uma tabela de rotas pode
pertencer a múltiplas subnets
Route Table
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
Internet
Gateway
VPC CIDR: 10.1.0.0 /16
InternetAWS Public
API Endpoints
Route Table
Destination Target
10.1.0.0/16 local
0.0.0.0/0 igw
![Page 28: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/28.jpg)
• A VPN connection refere-se a
conexão entre a VPC e sua
rede
• Consiste em um par de túneis
IPSEC entre o VGW e CGW
VPN connection
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
VPC CIDR: 10.1.0.0 /16
Internal User
VPN Gateway
Customer Gateway
Corporate Data Center
VPN over
the Internet
![Page 29: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/29.jpg)
• EIP = elastic IP
• Endereço de IP
estático
• Mantêm na sua conta
até ser liberado
• Pode ser movido
entre instâncias na
região
Elastic IP
Availability Zone A Availability Zone B
Subnet: 10.1.1.0/24
Internet
Gateway
VPC CIDR: 10.1.0.0 /16
InternetAWS Public
API Endpoints
Route Table
Destination Target
10.1.0.0/16 local
0.0.0.0/0 igw
Subnet: 10.1.10.0/24
EIP EIP
![Page 30: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/30.jpg)
• ENI = elastic network interface
• Interface virtual de rede que
pode ser anexada a instância
• Cada instância tem uma
interface default eth0
• Consiste em MAC address e
IP’s (público e privado)
Elastic Network Interface
Availability Zone A Availability Zone B
Subnet: 10.1.1.0/24
Internet
Gateway
VPC CIDR: 10.1.0.0 /16
InternetAWS Public
API Endpoints
Route Table
Destination Target
10.1.0.0/16 local
0.0.0.0/0 igw
Subnet: 10.1.10.0/24
ENI
(eth0)ENI
(eth0)
![Page 31: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/31.jpg)
Controles de
Segurança na
VPC
Route
Table
Route
Table
Internet
Gateway
Virtual Private
Gateway
Virtual Router
VPC 10.1.0.0/16
![Page 32: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/32.jpg)
DemoMudança de um security
group
![Page 33: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/33.jpg)
Melhores Práticas
©2015, Amazon Web Services, Inc. or its affiliates. All rights reserved
![Page 34: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/34.jpg)
Criar um VPC admin group via AWS Identity and Access Management (IAM)Examplo de chamadas de API a restringir:
AttachInternetGateway
AssociateRouteTable
CreateRoute
DeleteCustomerGateway
DeleteInternetGateway
DeleteNetworkAcl
DeleteNetworkAclEntry
DeleteRoute
DeleteRouteTable
DeleteDhcpOptions
ReplaceNetworkAclAssociation
DisassociateRouteTable
![Page 35: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/35.jpg)
Planeje sua distribuição de IP antes de
criá-los• Considere extensão para outras regiões
• Considere conectividade com suas redes
internas
• Considere as aplicações hosteadas
• VPC entre /16 até /28
• CIDR não pode ser modificada após criação
• Overlapping IP = Problemas futuros
![Page 36: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/36.jpg)
Planejamento de Subnet
• Suporte Multi-AZ
• Controle de Rota– Evitar conflitos
• Subnet-level access control
– Considere controles de acesso
• Security groups, multiple VPC architectures (e
VPC peering)
• Automação (Ex: Clouformation)
• Monitoração
![Page 37: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/37.jpg)
Tag o mais cedo possível e com
frequência!• Estratégia de Tagging deve fazer parte do design
• Exemplos de tags: Código do Projeto, Centro de
Custo, Ambiente, Versão,Time, Unidade de
Negócios
• Tag recursos imediatamente após a sua criação
• AWS Billing também suporta tags
![Page 38: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/38.jpg)
Redundância da VPN do Data
Center com a VPC
• Túneis redundantes com IPSEC
• Supporte a BGP e rota estática
• Redundância nos customer gateways
![Page 39: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/39.jpg)
Conexão de VPN Simples
Virtual Private Cloud
Availability ZoneAvailability Zone
VPC Subnet VPC Subnet
Customer Gateway
Customer Network
VPN
Router Virtual Private Gateway
![Page 40: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/40.jpg)
VPC Subnet
Multiplas Conexões de VPN
Virtual Private Cloud
Availability ZoneAvailability Zone
VPC Subnet
Customer Gateway
Customer Network
New York
VPN
Router Virtual Private Gateway
Customer Gateway
Customer Network
Chicago
VPN
Customer Gateway
Customer Network
Los Angeles
VPN
![Page 41: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/41.jpg)
Redundância de Túneis para Conectar a VPN
Virtual Private Cloud
Availability ZoneAvailability Zone
VPC Subnet VPC Subnet
IPSEC
VPN
Virtual Private Gateway
Router
72.21.209.193Router
72.21.209.225
Tunnel 1 Tunnel 2
Customer Gateway
xxx.xxx.xxx.xxx
Customer Network
IPSEC
VPN
![Page 42: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/42.jpg)
Redundancia de Customer Gateways
Virtual Private Cloud
Availability ZoneAvailability Zone
VPC Subnet VPC Subnet
Tunnel 1
Virtual Private Gateway
Router
72.21.209.193Router
72.21.209.225
Customer Gateway
xxx.xxx.xxx.xxx
Customer Network
Customer Gateway
xxx.xxx.xxx.yyy
Tunnel 2Tunnel 2
Tunnel 1
![Page 43: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/43.jpg)
VPC Peering para conectar a VPC
10.1.0.0/16
10.0.0.0/16
• VPCs na mesma regiãoPeer
request
Peer
accept
• Mesma conta ou contas diferentes
• Não pode haver overlap de IP’s
![Page 44: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/44.jpg)
Uso de Direct Connect
Direct Connect
Location
IPVPN
/ MPLS
Customer
Data Center
Customer
Office
Customer
Office
Customer
Office
Customer
Data Center
![Page 45: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/45.jpg)
Nós temos vários POPs de AWS Direct Connect
![Page 46: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/46.jpg)
Nós temos diversos parceiros
AWS Direct Connect partners
http://aws.amazon.com/directconnect/partners/
![Page 47: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/47.jpg)
Uso do AWS Marketplace para necessidades
específicas de rede e segurança
• Instâncias com AWS
com “1-Click"
• Pague por hora, mês
ou ano
• Invoice integrado do
uso da AWS e
software sde parceiro
• Rede e appliances
virtuais no EC2• Web application
firewalls (WAF)
• Intrusion detection
• Routers / firewalls
![Page 48: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/48.jpg)
Obrigado
![Page 49: 3. conectando o seu data center de forma segura na aws](https://reader030.vdocument.in/reader030/viewer/2022032618/55b36543bb61eb94548b4729/html5/thumbnails/49.jpg)
São Paulo