AWS Public Sector Blog

Establishing hybrid connectivity within a Canadian Centre for Cyber Security Medium Cloud reference architecture

Establishing hybrid connectivity within a Canadian Centre for Cyber Security Medium Cloud reference architecture

Lire cet article en français.

Canadian public sector customers adopting Amazon Web Services (AWS) can opt to migrate some, or all, of their existing IT resources to the cloud. To achieve this, a secure, performant and highly-available hybrid network is required to connect on-premises to the AWS Cloud. These customers are also required to meet security framework controls from the Canadian Centre for Cyber Security (CCCS) Medium Cloud Security Profile.

AWS consulted with the CCCS, the Treasury Board of Canada Secretariat (TBS) and Shared Services Canada (SSC) to build the CCCS Medium Cloud Reference Architecture. This opinionated and prescriptive architecture can help reduce the time and effort required to implement CCCS Cloud Medium controls from 90+ days to 2 days.

In this blog post, learn how to establish best-practice hybrid connectivity within a CCCS Medium Cloud reference architecture.

Hybrid networking

AWS Direct Connect is an AWS networking service that allows you to establish hybrid connectivity between on-premises and the AWS Cloud. Direct Connect makes sure that data is delivered through a private network connection between your facilities and AWS. While in transit, network traffic remains on the AWS global network and never touches the internet. This reduces the chance of hitting bottlenecks or unexpected increases in latency.

To establish Direct Connect, Canadian public sector customers can work directly with network service providers to connect to Direct Connect locations available throughout the globe, including in Toronto, Montreal, and Vancouver. Government of Canada (GC) customers need to work with SSC, the federal government’s central IT service provider.

For mission-critical workloads, we recommend achieving maximum resiliency by implementing separate connections that terminate on separate devices in more than one Direct Connect location.

Traditional routing and connectivity

Canadian public sector customers have habitually implemented hybrid connectivity by deploying a perimeter Virtual Private Cloud (VPC) and attaching a Direct Connect private virtual interface (VIF) to its virtual private gateway (VGW). A network overlay is then established between on-premises and the AWS Cloud by creating internet protocol security (IPsec) virtual private network (VPN) tunnels. These IPSec VPN tunnels terminate on physical network infrastructure on-premises and on virtual network appliances running on Amazon Elastic Compute Cloud (Amazon EC2). instances within the Perimeter VPC.

Figure 1. Traditional hybrid network architecture.

Figure 1. Traditional hybrid network architecture.

The functionality provided by this architecture pattern is two-fold:

  1. Allows the Classless Inter-Domain Routing (CIDR) blocks belonging to the Workload VPCs (dev, test, prod, etc.) to be advertised from AWS towards on-premises using dynamic routing within the network overlay.
  2. Protects data-in-transit across the hybrid network since IPSec authenticates and encrypts the traffic.

This architecture has some drawbacks. Namely, operating Amazon EC2-based network appliances requires customers to face complex challenges of scale, availability, and service delivery—not to mention hourly instance charges and potential third-party licensing costs. It also forces all data traversing the hybrid network to flow through the Perimeter VPC, possibly forming a bottleneck.

Recommended best-practice architecture for hybrid connectivity

Moving forward, we recommend that Canadian public sector customers that have deployed the CCCS Medium Cloud Reference Architecture leverage AWS Transit Gateway as a central hub in their hybrid network.

This includes attaching a Direct Connect Transit VIF to a Direct Connect gateway which can then be associated with a Transit Gateway in each AWS region that the customer is deployed into.

Figure 2. Recommended best-practice hybrid network architecture.

Figure 2. Recommended best-practice hybrid network architecture.

This simpler architecture brings several benefits:

  1. Allows the CIDR blocks belonging to the workload VPCs to be advertised from AWS towards on-premises using an allow-list of prefixes, without requiring a network overlay;
  2. Doesn’t require customers to operate any Amazon EC2-based network appliances;
  3. Allows data traversing the hybrid network to flow directly between on-premises and the Workload VPCs, eliminating the Perimeter VPC altogether. Customers choosing to inspect this east-west traffic can do so by deploying an Inspection VPC which contains AWS Network Firewall endpoints or a third-party virtual firewall solution of their choice;
  4. Expanding the hybrid network to additional AWS regions, including AWS Canada West (Calgary) coming in late 2023 or early 2024, is supported by simply attaching the Direct Connect gateway to a Transit Gateway deployed in the new AWS region.

Protection of data-in-transit with MAC Security (MACsec)

MACsec is an IEEE standard that provides data confidentiality, data integrity, and data origin authenticity. You can use Direct Connect connections that support MACsec to encrypt your data from your corporate data center to the Direct Connect location. All data flowing across the AWS global network that interconnects with datacenters and Regions is automatically encrypted at the physical layer before it leaves the data center.

You can provision MACsec on new Direct Connect dedicated connections. At the time of this writing, all but one of the Canadian AWS Direct Connect locations support MACsec; please see this page for up-to-date Regional availability.

The benefit of MACsec over IPSec is that delivers native, near line-rate, point-to-point encryption, which results in greater network throughput. MACsec encryption is done through hardware at near line-rate speed. In comparison, IPsec typically relies on a dedicated crypto engine or chip at a fraction of the overall throughput capabilities of the router or switch.

This makes sure that all data transmitted across the Transit VIF, between the customer router and the AWS Cloud, is encrypted end-to-end. This completely eliminates the need for an IPSec VPN tunnels, further simplifying the hybrid network.

Figure 3. MACsec topology.

Figure 3. MACsec topology.

Landing Zone Accelerator on AWS (LZA)

The CCCS Medium Cloud Reference Architecture is an opinionated and prescriptive architecture can be deployed using the LZA.

With LZA, organizations are able to deploy the hybrid network solution via infrastructure as code (IaC). Use the following code snippet within your LZA’s network-config.yaml configuration file to define Direct Connect gateways, virtual interfaces, and Transit Gateway associations. For more information, see this configuration reference.

directConnectGateways:
  - name: Accelerator-DXGW
    account: Network
    asn: 64512
    gatewayName: Accelerator-DXGW
    virtualInterfaces: []
    transitGatewayAssociations: []

Summary

Canadian public sector customers can establish best-practice hybrid connectivity within a CCCS Medium Cloud Reference Architecture. If you wish to deploy critical, citizen-facing applications that span multiple locations including the cloud, link your on-premises to AWS as per the recommended best-practice architecture for hybrid connectivity.

For more information on establishing hybrid connectivity for Canadian public sector customers, visit our Public Sector page or contact your AWS account team.


Mettre en place une connectivité hybride au sein d’une architecture infonuagique de référence à profil de sécurité moyen du Centre canadien pour la cybersécurité

Les clients canadiens du secteur public qui adoptent Amazon Web Services (AWS) peuvent choisir d’effectuer la migration d’une partie ou de l’ensemble de leurs ressources informatiques existantes vers le nuage. Pour ce faire, un réseau hybride sécurisé, performant et hautement disponible est nécessaire pour connecter l’environnement sur site au Nuage AWS. Ces clients sont également tenus de satisfaire aux contrôles du cadre de sécurité prescrits par le profil de sécurité infonuagique moyen du Centre canadien pour la cybersécurité (CCCS).

AWS a collaboré avec le CCCS, le Secrétariat du Conseil du Trésor (SCT) du Canada et Services partagés Canada (SPC) pour développer l’architecture infonuagique de référence à profil de sécurité moyen du CCCS. Cette architecture de référence prescriptive peut aider à réduire le temps et les efforts nécessaires à la mise en œuvre des contrôles infonuagiques moyens du CCCS, et ce, en permettant de ramener les délais de plus de 90 jours à 2 jours.

Dans cet article de blogue, découvrez comment mettre en place une connectivité hybride conforme aux bonnes pratiques au sein d’une architecture infonuagique de référence à profil de sécurité moyen du CCCS.

Mise en réseau hybride

AWS Direct Connect est un service de mise en réseau d’AWS qui vous permet d’établir une connectivité hybride entre un environnement sur site et le Nuage AWS. Direct Connect garantit que les données sont transmises par l’intermédiaire d’une connexion réseau privée entre vos installations et AWS. Le trafic réseau en transit demeure sur le réseau mondial AWS et n’est jamais acheminé par Internet. Cela réduit les risques de goulot d’étranglement ou d’augmentation inattendue de la latence.

Pour mettre en place Direct Connect, les clients canadiens du secteur public peuvent travailler directement avec les fournisseurs de services de réseau pour se connecter aux emplacements Direct Connect disponibles partout dans le monde, y compris à Toronto, Montréal et Vancouver. Les clients du gouvernement du Canada (GC) doivent travailler en partenariat avec SPC, le fournisseur central de services informatiques du gouvernement fédéral.

Pour les applications stratégiques, nous vous recommandons de maximiser la résilience en mettant en œuvre des connexions distinctes qui débouchent sur des appareils distincts dans plusieurs emplacements Direct Connect.

Routage et connectivité traditionnels

En règle générale, les clients canadiens du secteur public mettent en place la connectivité hybride en déployant un nuage privé virtuel (VPC) de périmètre et en attachant une interface virtuelle privée (VIF) Direct Connect à sa passerelle privée virtuelle (VGW). Une superposition de réseau a ensuite lieu entre l’environnement sur site et le Nuage AWS grâce à la création de tunnels de réseau privé virtuel (VPN) de sécurité du protocole Internet (IPsec). Ces tunnels VPN IPSec débouchent sur l’infrastructure réseau physique sur site et sur les appareils de réseau virtuel exécutés sur des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein du VPC de périmètre.

Figure 1. Architecture de réseau hybride traditionnelle

Figure 1. Architecture de réseau hybride traditionnelle

Ce modèle d’architecture a un double avantage :

  1. Il permet aux blocs de routage inter-domaines sans classe (CIDR) appartenant aux VPC d’applications (développement, test, production, etc.) d’être publiés à partir d’AWS vers l’environnement sur site en utilisant le routage dynamique au sein de la superposition de réseau.
  2. Il protège les données en transit au sein du réseau hybride, car IPSec authentifie et chiffre le trafic.

Cette architecture comporte quelques inconvénients. En effet, l’exploitation d’appareils réseau basés sur Amazon EC2 se traduit, pour les clients, par des défis complexes en matière de mise à l’échelle, de disponibilité et de prestation de services, ainsi que de frais d’instances horaires et de coûts potentiels de licences tierces. Cela oblige également toutes les données circulant dans le réseau hybride à transiter par le VPC de périmètre, au risque d’entraîner un goulot d’étranglement.

Architecture de connectivité hybride recommandée conforme aux bonnes pratiques

À l’avenir, nous recommandons que les clients canadiens du secteur public qui ont déployé l’architecture infonuagique de référence à profil de sécurité moyen du CCCS mettent AWS Transit Gateway au cœur de leur réseau hybride.

Cela inclut l’attachement d’une VIF transit Direct Connect à une passerelle Direct Connect, qui peut ensuite être associée à une passerelle de transit dans chaque région AWS dans laquelle le client effectue le déploiement.

Figure 2. Architecture de réseau hybride recommandée conforme aux bonnes pratiques.

Figure 2. Architecture de réseau hybride recommandée conforme aux bonnes pratiques.

Cette architecture plus simple offre de nombreux avantages :

  1. Elle permet aux blocs CIDR appartenant aux VPC d’applications d’être publiés à partir d’AWS vers l’environnement sur site à l’aide d’une liste autorisée de préfixes, sans nécessiter de superposition de réseau.
  2. Elle ne nécessite pas que les clients utilisent des appareils réseau basés sur Amazon EC2.
  3. Elle permet aux données acheminées sur le réseau hybride de circuler directement entre l’environnement sur site et les VPC d’applications, ce qui élimine complètement le VPC de périmètre. Les clients qui choisissent d’inspecter ce trafic est-ouest peuvent le faire en déployant un VPC d’inspection qui contient des points de terminaison AWS Network Firewall ou une solution de pare-feu virtuelle tierce de leur choix.
  4. L’expansion du réseau hybride à d’autres régions AWS, y compris AWS Canada Ouest (Calgary) à la fin 2023 ou au début 2024, est prise en charge par le simple attachement de la passerelle Direct Connect à une passerelle de transit déployée dans la nouvelle région AWS.

Protection des données en transit avec MAC Security (MACsec)

MACsec est une norme de l’IEEE qui garantit la confidentialité et l’intégrité des données ainsi que l’authenticité de leur origine. Vous pouvez utiliser les connexions Direct Connect qui prennent en charge MACsec pour chiffrer les données de votre centre de données d’entreprise à l’emplacement Direct Connect. Toutes les données qui circulent au sein du réseau mondial AWS et qui établissent des interconnexions avec les centres de données et les régions sont automatiquement chiffrées au niveau de la couche physique avant de quitter ces centres.

Vous pouvez mettre en œuvre MACsec sur de nouvelles connexions dédiées Direct Connect. Au moment de la rédaction du présent article, tous les emplacements AWS Direct Connect au Canada, sauf un, prennent en charge la norme MACsec. Consultez cette page pour connaître la disponibilité régionale actualisée.

L’avantage de MACsec par rapport à IPSec est qu’elle offre un chiffrement point à point natif à une vitesse proche de celle de ligne, ce qui se traduit par un débit réseau supérieur. Le chiffrement MACsec se fait par l’intermédiaire du matériel à une vitesse proche de la vitesse de ligne. En revanche, IPSec repose généralement sur un moteur cryptographique ou une puce dédié et fournit une fraction des capacités de débit globales du routeur ou du commutateur.

Cette approche garantit que toutes les données transmises par l’intermédiaire de la VIF transit, entre le routeur du client et le Nuage AWS, sont chiffrées de bout en bout. Cela élimine complètement le besoin de tunnels VPN IPSec, ce qui simplifie davantage le réseau hybride.

Figure 3. Topologie MACsec.

Figure 3. Topologie MACsec.

Accélérateur de zone de destination sur AWS (LZA)

L’architecture infonuagique de référence à profil de sécurité moyen du CCCS est une architecture prescriptive qui peut être déployée au moyen du LZA.

Le LZA permet aux organisations de déployer la solution de réseau hybride à l’aide de l’infrastructure en tant que code (IaC). Utilisez l’extrait de code suivant dans le fichier de configuration network-config.yaml de votre LZA pour définir les passerelles Direct Connect, les interfaces virtuelles et les associations de passerelles de transit. Pour plus d’informations, reportez-vous à cette configuration de référence.

directConnectGateways:
  - name: Accelerator-DXGW
    account: Network
    asn: 64512
    gatewayName: Accelerator-DXGW
    virtualInterfaces: []
    transitGatewayAssociations: []

Résumé

Les clients canadiens du secteur public peuvent mettre en place une connectivité hybride conforme aux bonnes pratiques au sein d’une architecture infonuagique de référence à profil de sécurité moyen du CCCS. Si vous souhaitez déployer des applications essentielles axées sur les citoyens et qui s’étendent sur plusieurs emplacements incluant le nuage, connectez vos applications sur site à AWS conformément à l’architecture de connectivité hybride recommandée conforme aux bonnes pratiques.

Pour en savoir plus sur la mise en place d’une connectivité hybride pour les clients canadiens du secteur public, consultez notre page du secteur public ou communiquez avec votre équipe de compte AWS.

Carlos Rivera

Carlos Rivera

Carlos Rivera is a senior solutions architect at Amazon Web Services (AWS) in the world wide public sector (WWPS) working with the federal government to help them use the cloud for the benefit of Canadians. Carlos has spent 20 years in IT and is passionate about networking and containers. He lives in Montréal, Quebec with his wife and 2 teenagers.

Joel Desaulniers

Joel Desaulniers

Joel is a solutions architect at Amazon Web Services (AWS). He focuses on helping the Canadian federal government accelerate its journey to the cloud. Before joining AWS, Joel spent 15 years in the field of networking, working with enterprise customers and service providers. He lives in Ottawa, Ontario with his wife and three children.