Centralized Network Inspection on AWS

Paso 2a
Etapa de validación: la solución valida la configuración del firewall de red mediante el uso de las API de Network Firewall con el modo de ejecución en seco habilitado. Esto le permite encontrar problemas inesperados antes de intentar un cambio real. Esta etapa también comprueba si todos los archivos a los que se hace referencia en la configuración existen en la estructura de archivos JSON.

Paso 2b
Etapa de despliegue: la solución crea un nuevo firewall, una política de firewall y grupos de reglas. Si alguno de los recursos ya existe, la solución actualiza los recursos. Esta etapa también ayuda a detectar cualquier cambio y a solucionarlo al aplicar la configuración más reciente del bucket de S3.
 

Los cambios del grupo de reglas vuelven al estado original si uno de los cambios del grupo de reglas falla. El modo de dispositivo se activa para la conexión de Transit Gateway a Amazon Virtual Private Cloud (Amazon VPC) a fin de evitar el tráfico asimétrico. Para obtener más información, consulte Dispositivo en una VPC de servicios compartidos.
 

Paso 3
La solución crea tablas de enrutamiento de Amazon VPC para cada zona de disponibilidad. El destino de ruta predeterminado para cada uno es el punto de enlace de VPC de Amazon para Network Firewall.

Paso 4
La solución crea una tabla de enrutamiento compartida con subredes de firewall. El destino de la ruta predeterminado es el ID de la puerta de enlace de tránsito. Esta ruta solo se crea si el ID de la puerta de enlace de tránsito se proporciona en los parámetros de entrada de CloudFormation.

Paso 1
La plantilla de AWS CloudFormation despliega una nube virtual privada (VPC) de inspección con cuatro subredes en zonas de disponibilidad seleccionadas de forma aleatoria en la región donde se despliega la solución.

Paso 1a
La solución usa dos de las subredes para crear conexiones de AWS Transit Gateway para sus VPC si proporciona un ID de puerta de enlace de tránsito existente.

Paso 1b
La solución utiliza las otras dos subredes para crear puntos de enlace de AWS Network Firewall en dos zonas de disponibilidad seleccionadas de forma aleatoria dentro de la región en la que se despliega la solución.

Paso 2
La plantilla de CloudFormation crea un bucket de Amazon Simple Storage Service (Amazon S3) con una configuración de firewall de red predeterminada que permite todo el tráfico. Esto hace que AWS CodePipeline ejecute las siguientes etapas:
 

Paso 2a
Etapa de validación: la solución valida la configuración del firewall de red mediante el uso de las API de Network Firewall con el modo de ejecución en seco habilitado. Esto le permite encontrar problemas inesperados antes de intentar un cambio real. Esta etapa también comprueba si todos los archivos a los que se hace referencia en la configuración existen en la estructura de archivos JSON.