Información general
La inspección de red centralizada en AWS configura los recursos de AWS necesarios para filtrar el tráfico de red. Con esta solución, ahorrará tiempo al automatizar el proceso para aprovisionar una instancia de AWS Network Firewall centralizada para inspeccionar el tráfico entre las instancias de Amazon Virtual Private Cloud (Amazon VPC).
Beneficios
Esta solución le permite modificar grupos de reglas y políticas de firewall en el paquete de configuración en el bucket de Amazon S3. Esto invoca automáticamente AWS CodePipeline para ejecutar la validación y despliegue.
Con esta solución, puede inspeccionar en un solo lugar cientos de miles de cuentas y VPC de Amazon. También puede configurar y administrar de forma centralizada AWS Network Firewall, las políticas de firewall y los grupos de reglas.
Esta solución permite colaborar y administrar los cambios en la configuración de AWS Network Firewall mediante el flujo de trabajo de GitOps.
Detalles técnicos
Puede implementar automáticamente esta arquitectura con la guía de implementación y la plantilla de AWS CloudFormation asociada.
Paso 1
La plantilla de AWS CloudFormation despliega una nube virtual privada (VPC) de inspección con cuatro subredes en zonas de disponibilidad seleccionadas de forma aleatoria en la región donde se despliega la solución.
Paso 1a
La solución usa dos de las subredes para crear conexiones de AWS Transit Gateway para sus VPC si proporciona un ID de puerta de enlace de tránsito existente.
Paso 1b
La solución utiliza las otras dos subredes para crear puntos de enlace de AWS Network Firewall en dos zonas de disponibilidad seleccionadas de forma aleatoria dentro de la región en la que se despliega la solución.
Paso 2
La plantilla de CloudFormation crea un bucket de Amazon Simple Storage Service (Amazon S3) con una configuración de firewall de red predeterminada que permite todo el tráfico. Esto hace que AWS CodePipeline ejecute las siguientes etapas:
Paso 2a
Etapa de validación: la solución valida la configuración del firewall de red mediante el uso de las API de Network Firewall con el modo de ejecución en seco habilitado. Esto le permite encontrar problemas inesperados antes de intentar un cambio real. Esta etapa también comprueba si todos los archivos a los que se hace referencia en la configuración existen en la estructura de archivos JSON.
Paso 2b
Etapa de despliegue: la solución crea un nuevo firewall, una política de firewall y grupos de reglas. Si alguno de los recursos ya existe, la solución actualiza los recursos. Esta etapa también ayuda a detectar cualquier cambio y a solucionarlo al aplicar la configuración más reciente del bucket de S3.
Los cambios del grupo de reglas vuelven al estado original si uno de los cambios del grupo de reglas falla. El modo de dispositivo se activa para la conexión de Transit Gateway a Amazon Virtual Private Cloud (Amazon VPC) a fin de evitar el tráfico asimétrico. Para obtener más información, consulte Dispositivo en una VPC de servicios compartidos.
Paso 3
La solución crea tablas de enrutamiento de Amazon VPC para cada zona de disponibilidad. El destino de ruta predeterminado para cada uno es el punto de enlace de VPC de Amazon para Network Firewall.
Paso 4
La solución crea una tabla de enrutamiento compartida con subredes de firewall. El destino de la ruta predeterminado es el ID de la puerta de enlace de tránsito. Esta ruta solo se crea si el ID de la puerta de enlace de tránsito se proporciona en los parámetros de entrada de CloudFormation.
Paso 1
La plantilla de AWS CloudFormation despliega una nube virtual privada (VPC) de inspección con cuatro subredes en zonas de disponibilidad seleccionadas de forma aleatoria en la región donde se despliega la solución.
Paso 1a
La solución usa dos de las subredes para crear conexiones de AWS Transit Gateway para sus VPC si proporciona un ID de puerta de enlace de tránsito existente.
Paso 1b
La solución utiliza las otras dos subredes para crear puntos de enlace de AWS Network Firewall en dos zonas de disponibilidad seleccionadas de forma aleatoria dentro de la región en la que se despliega la solución.
Paso 2
La plantilla de CloudFormation crea un bucket de Amazon Simple Storage Service (Amazon S3) con una configuración de firewall de red predeterminada que permite todo el tráfico. Esto hace que AWS CodePipeline ejecute las siguientes etapas:
Paso 2a
Etapa de validación: la solución valida la configuración del firewall de red mediante el uso de las API de Network Firewall con el modo de ejecución en seco habilitado. Esto le permite encontrar problemas inesperados antes de intentar un cambio real. Esta etapa también comprueba si todos los archivos a los que se hace referencia en la configuración existen en la estructura de archivos JSON.
Paso 2b
Etapa de despliegue: la solución crea un nuevo firewall, una política de firewall y grupos de reglas. Si alguno de los recursos ya existe, la solución actualiza los recursos. Esta etapa también ayuda a detectar cualquier cambio y a solucionarlo al aplicar la configuración más reciente del bucket de S3.
Los cambios del grupo de reglas vuelven al estado original si uno de los cambios del grupo de reglas falla. El modo de dispositivo se activa para la conexión de Transit Gateway a Amazon Virtual Private Cloud (Amazon VPC) a fin de evitar el tráfico asimétrico. Para obtener más información, consulte Dispositivo en una VPC de servicios compartidos.
Paso 3
La solución crea tablas de enrutamiento de Amazon VPC para cada zona de disponibilidad. El destino de ruta predeterminado para cada uno es el punto de enlace de VPC de Amazon para Network Firewall.
Paso 4
La solución crea una tabla de enrutamiento compartida con subredes de firewall. El destino de la ruta predeterminado es el ID de la puerta de enlace de tránsito. Esta ruta solo se crea si el ID de la puerta de enlace de tránsito se proporciona en los parámetros de entrada de CloudFormation.
- Fecha de publicación