Le Blog Amazon Web Services

Établir une connectivité hybride, flexible et sécurisée

Déployer des applications sur le cloud apporte de nombreux avantages, notamment au niveau de l’agilité et de l’innovation en éliminant une bonne partie du travail technique à faible valeur ajoutée tel que les acquisitions et installations matérielles, les branchements réseaux et la mise en place d’hyperviseurs, etc. Nos clients qui profitent des avantages du cloud réalisent que la nature du travail se transforme et s’optimise vers les tâches qui apportent davantage de valeur aux utilisateurs.

Démarrer un nouveau projet en utilisant AWS donne accès aux bénéfices du cloud dès le premier jour, mais la réalité de la plupart des organisations est qu’il n’existe que très peu d’applications qui s’opèrent de façon complètement isolées. Comment faire, alors, pour maximiser les avantages qu’apporte le cloud, et ce, le plus tôt possible ? Doit-on faire en sorte que nos systèmes existants soient accessibles au travers Internet ? Surtout pas ! Doit-on tout basculer vers le cloud en une nuit ? Bien sûr que non ! Il est possible de relier de manière sécurisée et flexible vos centres de données avec AWS pour faciliter les architectures hybrides : les déploiements où vous aurez besoin de relier des composants cloud avec vos systèmes sur-site.

Connectivité hybride : les approches possibles

Avec AWS, vous avez le choix d’établir votre connectivité hybride selon vos besoins. Vous pouvez élargir votre réseau IP privé existant grâce à une connexion de réseau privé virtuel site-à-site avec AWS Site-to-Site VPN ou encore en établissant un lien AWS Direct Connect privé dédié, sans subir les variations de performances et de latence courantes sur Internet.

En conservant votre adressage IP privé, vous pourrez joindre vos ressources cloud avec celles dont vous disposez sur-site. Vous pourrez aussi faire en sorte que votre architecture de sécurité demeure fonctionnelle et qu’elle soit intégrée avec vos déploiements cloud, notamment en utilisant les tables de routage pour aiguiller le trafic au travers de vos pares-feux existants.

Comment débuter avec AWS Direct Connect

AWS Direct Connect vous permet de relier vos centres de données avec vos ressources AWS au travers un lien dédié, doté d’une bande passante contrôlée, stable et à l’abri des fluctuations d’Internet. Avec ce lien et grâce au protocole BGP (Border Gateway Protocol), il est possible d’établir des routes entre vos sous-réseaux privés sur-site et ceux que vous utilisez sur le cloud AWS.

Un lien AWS Direct Connect s’établit par une interconnexion dans un emplacement sélectionné ou encore au travers le réseau d’un partenaire. Au Québec, les organisations d’éducation, d’enseignement supérieur et de recherche desservies par le réseau du RISQ peuvent faire appel à leur service Accès infonuagique et ainsi établir une connectivité AWS Direct Connect facilement, sans nécessairement impliquer l’installation de nouvelles fibres optiques physiques. Vous pouvez choisir d’utiliser des connexions AWS Direct Connect dédiées (connexion qui passe par un port Ethernet de 1 Gb/s, 10 Gb/s ou 100 Gb/s dédié à vous seul) ou bien des connexions AWS Direct Connect hébergées (connexions logiques allant de 50 Mb/s à 10 Gb/s).

Pour démarrer le processus de mise en place d’une connexion AWS Direct Connect avec RISQ-Cloud, il suffit d’utiliser la console AWS et de créer une connexion :

Direct Connection creation

Par ailleurs, les institutions gouvernementales de la province qui sont reliées au Réseau intégré de télécommunication multimédia (RITM) ont aussi la possibilité d’utiliser la connectivité AWS Direct Connect grâce au partenariat établi avec le fournisseur gouvernemental.

L’importance d’un environnement multi-comptes AWS

La connectivité entre vos centres de données et AWS doit pouvoir évoluer et faciliter les changements – après tout, l’un des avantages du cloud est d’augmenter l’agilité ! Or, en l’absence de cadrage, vous pourriez rencontrer des défis au niveau de la connectivité hybride : conflits de plages d’adresses IP, routes vers l’Internet sans filtrage par vos pares-feux, brèches dans vos zones de sécurité, etc. Il est important d’architecturer votre environnement AWS d’une manière à en faciliter la gouvernance et l’évolution tout en assurant la sécurité de vos ressources informationnelles.

AWS offre plusieurs services et fonctionnalités pour faciliter l’encadrement, le contrôle et l’automatisation des tâches de gouvernance. Vous pouvez ainsi contrôler les configurations réseaux pour assurer une évolution saine et qui respecte vos objectifs. Spécifiquement, nous recommandons d’établir un environnement AWS multi-comptes sécurisé et d’utiliser le partage de ressources pour octroyer à vos comptes de production, de développement et de tests les sous-réseaux nécessaires à leurs applications respectives.

AWS Control Tower permet d’automatiser la gouvernance de votre environnement multi-comptes et établit une base solide pour concevoir votre architecture réseau hybride flexible et sécurisée. Une fois votre environnement multi-comptes déployé, vous pourrez créer un compte dédié à votre réseautique hybride, préciser le personnel autorisé à accéder à ce compte, puis configurer les réseaux virtuels isolés Amazon Virtual Private Cloud (VPC) désirés, avec leurs plages d’adresses IP privées, le découpage des sous-réseaux, les tables de routage, etc. Vous pourrez ensuite partager les sous-réseaux voulus avec les comptes AWS dédiés aux applications, aux environnements et/ou aux équipes de votre organisation.

Architecture hybride flexible et sécurisée avec AWS Secure Environment Accelerator

De plus en plus d’organisations optent aussi pour la solution AWS Secure Environment Accelerator (ASEA) puisque celle-ci permet de réduire considérablement la quantité de travail nécessaire pour établir un environnement multi-comptes flexible et sécurisé qui respecte les mesures de sécurité exigeantes pour les services du Gouvernement du Canada – mesures qui sont souvent similaires ou encore plus strictes que celles requises par les organisations non-gouvernementales. ASEA établit les comptes transversaux dédiés au réseau partagé, aux opérations, au périmètre réseau, à l’archivage des journaux et à la sécurité. La solution prépare aussi les unités d’organisation nécessaires pour structurer les comptes AWS dédiés aux applications. Enfin, ASEA ne fait pas que créer les comptes AWS : de nombreuses ressources sont mises en place et gérées par la solution, notamment au niveau réseautique pour faciliter la création de vos VPCs et assigner dynamiquement les plages d’adresses IP selon les besoins. Vous aurez donc tout un environnement multi-comptes AWS décrit en infrastructure en tant que code prêt à l’usage et à l’intégration avec votre réseau sur-site.

Conclusion

Au final, que ce soit pour faciliter l’intégration de vos systèmes existants ou pour préparer une migration d’importance, établir votre connectivité hybride est un pré-requis fréquent qu’il est possible d’établir au travers vos partenaires de connectivité existants.

Inutile d’attendre : vous pouvez démarrer le processus dans la console AWS en quelques minutes. Vous pouvez aussi communiquer avec votre équipe de compte AWS pour discuter de vos besoins et alimenter votre réflexion quant à l’architecture réseau souhaitée.

Enfin, considérez la solution AWS Secure Environment Accelerator pour établir votre landing zone ainsi que votre architecture hybride flexible et sécurisée. C’est un accélérateur qui vous permettra de relier vos liens AWS Direct Connect à un environnement cloud architecturé selon les meilleures pratiques très rapidement.

Article écrit par Vincent Rioux, Senior Solutions Architect dans l’équipes AWS Canada.