依照此 Quick Start 在 Amazon Web Services (AWS) 云上部署 Nubeva 传输层安全 (TLS) Decrypt 平台。它包括下列开源工具:
- Arkime 是一个大规模的、开源索引数据包捕获和搜索系统。
- Suricata 是一个高性能引擎,包括网络入侵检测系统 (IDS)、入侵防御系统 (IPS) 和网络安全监控 (NSM)。
- Wireshark 是一个免费的、开源的数据包分析器,用于排查网络故障。
- Zeek 是一种强大的网络分析框架,用于通过查看异常网络活动找出可疑的数据流来进行入侵检测。
本 Quick Start 适用于以下用户:希望识别其 Virtual Private Cloud (VPC) 和 Amazon Elastic Compute Cloud (Amazon EC2) 实例中的恶意活动、内部威胁和数据泄漏。
-
构建内容
-
如何部署
-
费用和许可证
-
构建内容
-
本 Quick Start 在 AWS 上设置以下 Nubeva 环境:
- 横跨两个可用区的高度可用架构。*
- 根据 AWS 最佳做法配置了公有子网和私有子网的 VPC,可让您在 AWS 上使用自己的虚拟网络。*
- 每个开源工具的 Elastic Load Balancing (ELB),为工具操作本身和使用 Amazon VPC 流量镜像或内部复制的入站数据包镜像提供可扩缩性。
- 在公有子网中:
- 所有入站连接的堡垒主机。*
- 托管网络地址转换 (NAT) 网关,允许对子网中的资源进行出站互联网访问。*
- 在私有子网中:
- Auto Scaling 组(大小为 2)中的 Arkime 数据包捕获。
- Auto Scaling 组(大小为 2)中的 Suricata 签名检测。
- Auto Scaling 组(大小为 2)中的 Wireshark 数据包分析。
- Auto Scaling 组(大小为 2)中的 Zeek 异常检测
- 连接到每个开源负载均衡器的 Amazon VPC 流量镜像目标。
- Auto Scaling 组(大小为 2)中用于监测 TLS 流量的示例源实例。
- Auto Scaling 组(大小为 2)中的 Arkime 数据包捕获。
- 适用于密钥存储的 Amazon DynamoDB。
- 用于管理 Zeek 和 Suricata 的日志的 Amazon Elasticsearch Service (Amazon ES)。
- Amazon Simple Storage Service (Amazon S3) 存储桶,用于 Arkime 数据包捕获 (PCAP) 存储。
* 用于将此 Quick Start 部署到现有 VPC 中的模板会跳过标有星号的组件,并提示您使用现有 VPC 配置。
-
如何部署
-
要部署 Nubeva TLS Decrypt 环境,请遵照部署指南中的说明操作。部署过程包括以下步骤:
- 登录您的 AWS 账户。如果您还没有 AWS 账户,请访问 https://aws.amazon.com 进行注册。
- 准备您的 Nubeva 账户。
- 启动 Quick Start。在创建堆栈之前,从顶部工具栏中选择 AWS 区域。
- 测试部署。
Amazon 可能会跟与 AWS 合作打造此解决方案的 AWS 合作伙伴共享用户部署信息。
-
费用和许可证
-
如部署指南中所述,部署需要 Nubeva SaaS 控制台上的账户。
您需要支付在运行此 Quick Start 参考部署期间使用的 AWS 服务和任何第三方许可证所产生的费用。使用本快速入门无需额外付费。
此 Quick Start 的 AWS CloudFormation 模板包括可自定义的配置参数。其中一些设置(如实例类型)会影响部署成本。有关成本估算,请参阅您将使用的每项 AWS 服务的定价页面。价格会随时发生变化。
提示 部署 Quick Start 后,请创建 AWS Cost and Usage Report,以跟踪与此 Quick Start 相关的费用。这些报告会将账单指标发送至您账户中的 Amazon Simple Storage Service (Amazon S3) 存储桶。它们根据每个月的使用情况提供成本估算,并在月末汇总数据。有关更多信息,请参阅 什么是 AWS Cost and Usage Report?