Existem dois tipos de arquitetura que servirão como base: privada e pública. Na arquitetura híbrida privada, a sua infraestrutura na AWS não terá qualquer acesso a internet, sendo somente acessível por uma conexão privada entre seu datacenter e a AWS. Já a pública, além de ter essa conexão privada com seu datacenter, também terá serviços ou aplicações que precisarão ser acessíveis pela Internet, caso necessário. Neste caso, a conexão entre Internet e AWS é direta. As arquiteturas abaixo explicam ambos os cenários.

Arquitetura híbrida privada

Nessa arquitetura é possível observar que o acesso à internet é feito via seu datacenter, e que do lado da AWS, quaisquer acessos têm que ser feito via VPN e/ou uma conexão física privada chamada de Direct Connect.

Os serviços da AWS utilizados para implementar essa arquitetura são:

Virtual Private Cloud (VPC): a VPC é o serviço que te permite isolar seus recursos da AWS, criar sua topologia de rede, tabelas de roteamento, subnets e ACLs de rede. Quando, por exemplo, uma instância EC2 (máquina virtual na nuvem da AWS) é lançada, ela nasce dentro da VPC com as configurações de rede especificadas pela VPC, similar ao que pode ser realizado em um datacenter tradicional. Para essa arquitetura, utilize o wizard de VPC with Private Subnet Only and Hardware VPN Access.

Virtual Private Gateway: o Virtual Private Gateway é a saída da sua VPC para conexões de VPN gerenciado e Direct Connect. Para VPN, o serviço oferece dois túneis IPSec a serem fechados de maneira ativo-ativo e o roteamento pode ser por rotas estáticas ou BGP.

Você também pode fechar sua VPN com EC2, ao invés do Virtual Private Gateway. Basta utilizar alguma ferramenta que você já tenha costume, seja ela open source, como OpenSwan, StrongSwan, OpenVPN, ou ferramentas de mercado como Cisco, Checkpoint, entre outras. Confira no Marketplace da AWS as soluções de VPN prontas para rodar em sua VPC. Neste caso, você deverá fazer sua própria implementação de alta disponibilidade dos túneis da VPN.

Customer Gateway: o Customer Gateway é a representação do seu dispositivo físico ou software que será utilizado por você, no seu datacenter ou empresa, para fechar os túneis IPSec com o Virtual Private Gateway. Utilize esse resumo para ajudá-lo a como configurar o Customer Gateway.

Direct Connect: o Direct Connect é uma conexão física, privada, dedicada entre seu datacenter ou empresa e a AWS. Em arquiteturas híbridas, onde o fluxo de dados entre uma empresa ou datacenter e a AWS é muito grande, recomenda-se utilizar o Direct Connect para aumentar a taxa de transferência (throughput), melhorar a latência e a consistência da conexão em comparação à Internet. Essa conexão é baseada em VLANs 802.1q, que pode ser particionada em múltiplas interfaces virtuais. Para mais informações de como obter o serviço, veja a nossa documentação oficial. Para a redundância e alta disponibilidade do Direct Connect, é possível conectar dois links diferentes, oriundos de pontos de presença (POPs) diferentes no mesmo Virtual Private Gateway, ou criar uma conexão VPN no Virtual Private Gateway. Em ambos os casos, se houver uma falha em algum dos meios de comunicação (Direct Connect ou VPN), o Virtual Private Gateway automaticamente faz o failover. No seu lado, você deve estar configurado para alguma eventual falha também.

Outras opções de conectividade se aplicam, como, por exemplo, vários roteadores com várias VPNs, ou várias localidades com VPN. Para todas as opções de conectividade com a AWS, por favor, veja o whitepaper de Amazon VPC Connectivity Options.

Arquitetura híbrida pública

Repare que nesta arquitetura a sua infraestrutura na AWS terá acesso direto à Internet através do Internet Gateway da VPC.

Além dos serviços e componentes da arquitetura privada, os seguintes devem ser adicionados para implementar essa arquitetura pública:

Internet Gateway: o Internet Gateway é um componente da VPC altamente escalável, redundante que provê comunicação entre sua VPC e a Internet. Para a implantação desta arquitetura, utilize o wizard VPC with Public and Private Subnets.

Opções de autenticação e federação do seus usuários na AWS

Directory Service

O AWS Directory Service é um serviço gerenciado pela AWS que permite conectar seu Microsoft Active Directory existente à AWS ou configurar um novo diretório autônomo na nuvem AWS, podendo, assim, integrá-lo de maneira fácil aos demais serviços da AWS. O serviço oferece três opções, AD Connector, Simple AD e Microsoft AD.

O Simple AD é um diretório autônomo baseado em Samba 4, compatível com Active Directory, que simplifica a implementação e o gerenciamento de cargas de trabalho Linux e Microsoft Windows na nuvem AWS. Ele é compatível com recursos comumente utilizados, como contas de usuários, associações de grupo, ingresso em domínios de instâncias do Amazon EC2 executando Linux e Microsoft Windows, login único (SSO) baseado em Kerberos e políticas de grupo.

As contas de usuários em um Simple AD também podem ser utilizadas para acessar aplicações da AWS como Amazon WorkSpaces, Amazon WorkDocs ou Amazon WorkMail, bem como gerenciar recursos da AWS por meio de acesso ao Console de Gerenciamento da AWS baseado em função do AWS Identity and Access Management (IAM). O Simple AD também fornece diariamento por padrão snapshots automatizados para possibilitar a restauração point-in-time. Veja como migrar para o Simple AD em simples passos.

Na maioria dos casos, o Simple AD é a opção menos custosa e a melhor escolha, caso você tenha um cenário com menos de 5 mil usuários, e também não precisa opções mais avançadas do Microsoft Active Directory, como estabelecer uma relação de confiança entre o Simple AD e um domínio do Active Directory, MFA, schema extensions, comunicação entre LDAPs, PowerShell AD cmdlets e a transferência de FSMO.

O AD Connector possibilita conectar facilmente seu Microsoft Active Directory à nuvem AWS, sem exigir tecnologias complexas de sincronização de diretórios ou envolver o custo e a complexidade da hospedagem de uma infraestrutura de federação de Microsoft Active Directory. Após a configuração, seus usuários finais e administradores de TI podem usar suas credenciais corporativas atuais para fazer login em aplicações da AWS como Amazon Workspaces, Amazon WorkDocs ou Amazon WorkMail, bem como gerenciar recursos da AWS (por exemplo, instâncias Amazon EC2 ou buckets do Amazon S3) por meio do acesso baseado no AWS Identity and Access Management (IAM) ao Console de Gerenciamento da AWS.

O AD Connector é a melhor escolha quando você precisa utilizar o seu diretório já existente em sua empresa ou datacenter com os serviços da AWS.

Microsoft AD é um Microsoft Active Directory (Enterprise Edition) gerenciado na nuvem da AWS. Ele provê muitas das funcionalidades oferecidas pelo Microsoft Active Directory mais a integração com as aplicações na AWS.

Utilize essa opção caso você tenha mais que 5 mil usuários e necessita de uma relação de confiança entre um Active Directory hospedado na AWS e o seu já existente.

Identity and Access Management (IAM)

O Identity and Access Management (IAM) te ajuda a controlar quem pode acessar os recursos da AWS (autenticação) e quais recursos eles podem utilizar (autorização). O serviço te possibilita criar Usuários e Grupos com permissões granulares e outros tipos de acesso, como permissões temporárias e roles, que permite o acesso aos recursos da AWS sem a necessidade explicíta de credenciais. Por exemplo, uma instância EC2 pode assumir uma role que dá acesso de gravação à um bucket do S3.

Em um cenário de arquitetura híbrida, um dos principais recursos do IAM é a federação (Identity Federation), que te permite dar um acesso temporário a usuários que já possuem uma senha em outro lugar a sua conta da AWS. Por exemplo, integrar um OpenLDAP Directory e Shibboleth com a AWS. Para aumentar ainda mais a segurança destes acessos, no IAM, é possível habilitar um Multi Factor Authentication (MFA) para adicionar uma camada extra de autenticação. Também é possível criar políticas de senha (nível de complexidade, data de expiração), mantendo o mesmo padrão que muitas empresas já o fazem dentro da sua própria rede.

Conclusão

Esse documento mostra como criar uma fundação ou base para que seu datacenter ou empresa se comunique de maneira totalmente integrada com a AWS, tanto na parte de conectividade de rede, quanto às permissões e acessos que seus usuários necessitam, mantendo as mesmas regras de negócio que você já possui em sua rede. Uma vez que essa fundação esteja funcionando, você estará pronto para o próximo passo, que é integrar suas aplicação e serviços aos recursos da AWS. Essa parte será coberta em um próximo documento.

***

Artigo escrito por Rubens Devito Filho. 

Este artigo faz parte do AWSHUB, rede de profissionais AWS gerenciado pelo iMasters.