Tag: 叶江荣

本篇文章将介绍如何使用VPC Traffic Mirroring和开源的IDS工具Suricata，搭建一套实时的网络入侵检测系统，利用Kinesis Agent将安全检测日志和告警通过Kinesis Firehose发送到Amazon Elasticsearch，进行可视化分析。

大量企业客户在数据中心都有安全设备来实现流量管控和应用的访问控制。那在 AWS 上部署应用的时候也会延续相同的安全策略，在 VPC 之间的流量、VPC 和本地机房以及 VPC 与公网之间流量都希望能够实现统一的安全控制。在 Transit Gateway 产品发布之前，比较推荐用户采用的实现方式是 Transit VPC 方案，随着 Transit Gateway 在各个 AWS 区域的落地，可以通过 Transit Gateway 的路由表来实现流量的集中化安全管控。本文就这两类方案做一个简单的回顾和总结，并基于 Transit Gateway 的非 VPN 方案具体实现提供自动化脚本和详细的配置说明，供大家进行实验和实际部署的参考。本文主要基于合作伙伴 Fortinet 的产品进行配置示例。

云上和云下的混合部署是目前大量用户进行实际业务部署的常见方式。为了实现高速、稳定、安全的数据交互，用户都会有专线接入的需求，即通过 Direct Connect 专有连接将自建机房的网络和 AWS 区域中的 VPC 进行网络连通，实现业务混合部署或者数据传输。在2019.11.25日发布了 Direct Connect 网关后，我们可以利用国内的任何一个 Direct Connect站点接入到宁夏、北京区域中的多个 VPC 中，并且用户网关只需要通过 Virtual Interface 和 Direct Connect 网关建立 BGP 邻居，而无需和每个 VGW 建立 BGP 邻居。这大大简化了用户的接入和组网方案，降低了同时使用 AWS 中国宁夏和北京区域的成本，带来更高的业务可用性和灵活性。

AWS Client VPN 让用户可以从任意位置使用 open VPN 客户端创建 TLS 连接到 AWS VPC， 它是完全托管的服务，用户不再需要维护和管理第三方的 VPN 接入方案。默认弹性和高可用，根据用户数自动扩展。支持客户端通过证书方式认证，也可以与 AD 集成。实现到 VPC 中资源和 On-Premise 资源的访问，也可以通过该 VPN 访问 internet。