Centralized Network Inspection on AWS

Schritt 2a
Validierungsphase: Die Lösung validiert die Network-Firewall-Konfiguration mithilfe von Network-Firewall-APIs mit aktiviertem Probelaufmodus. Auf diese Weise können Sie unerwartete Probleme erkennen, bevor Sie eine tatsächliche Änderung vornehmen. In dieser Phase wird auch überprüft, ob alle referenzierten Dateien in der Konfiguration in der JSON-Dateistruktur vorhanden sind.

Schritt 2b
Bereitstellungsphase: Die Lösung erstellt eine neue Firewall und Firewall-Richtlinie sowie neue Regelgruppen. Wenn eine der Ressourcen bereits vorhanden ist, aktualisiert die Lösung die Ressourcen. Diese Phase hilft auch dabei, Änderungen zu erkennen und Abhilfe zu schaffen, indem die neueste Konfiguration aus dem S3-Bucket angewendet wird.
 

Wenn eine der Regelgruppenänderungen fehlschlägt, werden die Regelgruppenänderungen auf den ursprünglichen Zustand zurückgesetzt. Der Gerätemodus wird für die Verbindung vom Transit Gateway zur Amazon Virtual Private Cloud (Amazon VPC) aktiviert, um asymmetrischen Datenverkehr zu vermeiden. Weitere Informationen finden Sie unter Gerät in einer VPC für gemeinsam genutzte Services.
 

Schritt 3
Die Lösung erstellt Amazon-VPC-Routing-Tabellen für jede Availability Zone. Das Standard-Routing-Ziel für jedes ist der Amazon-VPC-Endpunkt für Network Firewall.

Schritt 4
Die Lösung erstellt eine gemeinsame Routing-Tabelle mit Firewall-Subnetzen. Das Standard-Routing-Ziel ist die Transit-Gateway-ID. Diese Route wird nur erstellt, wenn die Transit-Gateway-ID in den CloudFormation-Eingabeparametern angegeben ist.

Schritt 1
Die Vorlage für AWS CloudFormation stellt eine virtuelle private Cloud für Inspektionen (VPC) mit vier Subnetzen in zufällig ausgewählten Availability Zones innerhalb der Region bereit, in der die Lösung bereitgestellt wird.

Schritt 1a
Die Lösung verwendet zwei der Subnetze, um AWS-Transit-Gateway-Anhänge für Ihre VPCs zu erstellen, wenn Sie eine vorhandene Transit-Gateway-ID angeben.

Schritt 1b
Die Lösung verwendet die anderen beiden Subnetze, um Endpunkte für AWS Network Firewall in zwei zufällig ausgewählten Availability Zones innerhalb der Region zu erstellen, in der die Lösung bereitgestellt wird.

Schritt 2
Die CloudFormation-Vorlage erstellt einen Amazon Simple Storage Service (Amazon S3)-Bucket mit einer Standard-Netzwerk-Firewall-Konfiguration, die den gesamten Datenverkehr zulässt. Dadurch wird AWS CodePipeline veranlasst, die folgenden Schritte auszuführen:
 

Schritt 2a
Validierungsphase: Die Lösung validiert die Network-Firewall-Konfiguration mithilfe von Network-Firewall-APIs mit aktiviertem Probelaufmodus. Auf diese Weise können Sie unerwartete Probleme erkennen, bevor Sie eine tatsächliche Änderung vornehmen. In dieser Phase wird auch überprüft, ob alle referenzierten Dateien in der Konfiguration in der JSON-Dateistruktur vorhanden sind.