Übersicht
Die zentralisierte Netzwerkprüfung in AWS konfiguriert die AWS-Ressourcen, die zum Filtern des Netzwerkdatenverkehrs erforderlich sind. Diese Lösung spart Ihnen Zeit, indem Sie den Prozess der Bereitstellung einer zentralen AWS Network Firewall automatisieren, um den Datenverkehr zwischen Ihren Amazon Virtual Private Clouds (Amazon VPCs) zu überprüfen.
Vorteile
Mit dieser Lösung können Sie Regelgruppen und Firewall-Richtlinien im Konfigurationspaket im Amazon-S3-Bucket ändern. Dadurch wird automatisch AWS CodePipeline aufgerufen, um die Validierung und Bereitstellung auszuführen.
Mit dieser Lösung können Sie Hunderte oder Tausende von Amazon VPCs und Konten an einem Ort überprüfen. Sie können Ihre AWS Network Firewall, Firewall-Richtlinien und Regelgruppen auch zentral konfigurieren und verwalten.
Mit dieser Lösung können Sie zusammenarbeiten und die Änderungen an der AWS-Network-Firewall-Konfiguration mithilfe des GitOps-Workflow verwalten.
Technische Details
Sie können diese Architektur mit dem Implementierungsleitfaden und der dazugehörigen Vorlage für AWS CloudFormation automatisch bereitstellen.
Schritt 1
Die Vorlage für AWS CloudFormation stellt eine virtuelle private Cloud für Inspektionen (VPC) mit vier Subnetzen in zufällig ausgewählten Availability Zones innerhalb der Region bereit, in der die Lösung bereitgestellt wird.
Schritt 1a
Die Lösung verwendet zwei der Subnetze, um AWS-Transit-Gateway-Anhänge für Ihre VPCs zu erstellen, wenn Sie eine vorhandene Transit-Gateway-ID angeben.
Schritt 1b
Die Lösung verwendet die anderen beiden Subnetze, um Endpunkte für AWS Network Firewall in zwei zufällig ausgewählten Availability Zones innerhalb der Region zu erstellen, in der die Lösung bereitgestellt wird.
Schritt 2
Die CloudFormation-Vorlage erstellt einen Amazon Simple Storage Service (Amazon S3)-Bucket mit einer Standard-Netzwerk-Firewall-Konfiguration, die den gesamten Datenverkehr zulässt. Dadurch wird AWS CodePipeline veranlasst, die folgenden Schritte auszuführen:
Schritt 2a
Validierungsphase: Die Lösung validiert die Network-Firewall-Konfiguration mithilfe von Network-Firewall-APIs mit aktiviertem Probelaufmodus. Auf diese Weise können Sie unerwartete Probleme erkennen, bevor Sie eine tatsächliche Änderung vornehmen. In dieser Phase wird auch überprüft, ob alle referenzierten Dateien in der Konfiguration in der JSON-Dateistruktur vorhanden sind.
Schritt 2b
Bereitstellungsphase: Die Lösung erstellt eine neue Firewall und Firewall-Richtlinie sowie neue Regelgruppen. Wenn eine der Ressourcen bereits vorhanden ist, aktualisiert die Lösung die Ressourcen. Diese Phase hilft auch dabei, Änderungen zu erkennen und Abhilfe zu schaffen, indem die neueste Konfiguration aus dem S3-Bucket angewendet wird.
Wenn eine der Regelgruppenänderungen fehlschlägt, werden die Regelgruppenänderungen auf den ursprünglichen Zustand zurückgesetzt. Der Gerätemodus wird für die Verbindung vom Transit Gateway zur Amazon Virtual Private Cloud (Amazon VPC) aktiviert, um asymmetrischen Datenverkehr zu vermeiden. Weitere Informationen finden Sie unter Gerät in einer VPC für gemeinsam genutzte Services.
Schritt 3
Die Lösung erstellt Amazon-VPC-Routing-Tabellen für jede Availability Zone. Das Standard-Routing-Ziel für jedes ist der Amazon-VPC-Endpunkt für Network Firewall.
Schritt 4
Die Lösung erstellt eine gemeinsame Routing-Tabelle mit Firewall-Subnetzen. Das Standard-Routing-Ziel ist die Transit-Gateway-ID. Diese Route wird nur erstellt, wenn die Transit-Gateway-ID in den CloudFormation-Eingabeparametern angegeben ist.
Schritt 1
Die Vorlage für AWS CloudFormation stellt eine virtuelle private Cloud für Inspektionen (VPC) mit vier Subnetzen in zufällig ausgewählten Availability Zones innerhalb der Region bereit, in der die Lösung bereitgestellt wird.
Schritt 1a
Die Lösung verwendet zwei der Subnetze, um AWS-Transit-Gateway-Anhänge für Ihre VPCs zu erstellen, wenn Sie eine vorhandene Transit-Gateway-ID angeben.
Schritt 1b
Die Lösung verwendet die anderen beiden Subnetze, um Endpunkte für AWS Network Firewall in zwei zufällig ausgewählten Availability Zones innerhalb der Region zu erstellen, in der die Lösung bereitgestellt wird.
Schritt 2
Die CloudFormation-Vorlage erstellt einen Amazon Simple Storage Service (Amazon S3)-Bucket mit einer Standard-Netzwerk-Firewall-Konfiguration, die den gesamten Datenverkehr zulässt. Dadurch wird AWS CodePipeline veranlasst, die folgenden Schritte auszuführen:
Schritt 2a
Validierungsphase: Die Lösung validiert die Network-Firewall-Konfiguration mithilfe von Network-Firewall-APIs mit aktiviertem Probelaufmodus. Auf diese Weise können Sie unerwartete Probleme erkennen, bevor Sie eine tatsächliche Änderung vornehmen. In dieser Phase wird auch überprüft, ob alle referenzierten Dateien in der Konfiguration in der JSON-Dateistruktur vorhanden sind.
Schritt 2b
Bereitstellungsphase: Die Lösung erstellt eine neue Firewall und Firewall-Richtlinie sowie neue Regelgruppen. Wenn eine der Ressourcen bereits vorhanden ist, aktualisiert die Lösung die Ressourcen. Diese Phase hilft auch dabei, Änderungen zu erkennen und Abhilfe zu schaffen, indem die neueste Konfiguration aus dem S3-Bucket angewendet wird.
Wenn eine der Regelgruppenänderungen fehlschlägt, werden die Regelgruppenänderungen auf den ursprünglichen Zustand zurückgesetzt. Der Gerätemodus wird für die Verbindung vom Transit Gateway zur Amazon Virtual Private Cloud (Amazon VPC) aktiviert, um asymmetrischen Datenverkehr zu vermeiden. Weitere Informationen finden Sie unter Gerät in einer VPC für gemeinsam genutzte Services.
Schritt 3
Die Lösung erstellt Amazon-VPC-Routing-Tabellen für jede Availability Zone. Das Standard-Routing-Ziel für jedes ist der Amazon-VPC-Endpunkt für Network Firewall.
Schritt 4
Die Lösung erstellt eine gemeinsame Routing-Tabelle mit Firewall-Subnetzen. Das Standard-Routing-Ziel ist die Transit-Gateway-ID. Diese Route wird nur erstellt, wenn die Transit-Gateway-ID in den CloudFormation-Eingabeparametern angegeben ist.
- Datum der Veröffentlichung