Aperçu
L’inspection centralisée du réseau sur AWS configure les ressources AWS nécessaires pour filtrer le trafic réseau. Cette solution vous fait gagner du temps en automatisant le processus de mise en service d’un AWS Network Firewall centralisé pour inspecter le trafic entre vos Virtual Private Clouds Amazon (Amazon VPC).
Avantages
Cette solution vous permet de modifier les groupes de règles et les politiques de pare-feu dans le package de configuration du compartiment Amazon S3. Ceci invoque automatiquement AWS CodePipeline pour exécuter la validation et le déploiement.
Avec cette solution, vous pouvez inspecter des centaines ou des milliers de VPC et de comptes Amazon en un seul endroit. Vous pouvez également configurer et gérer de manière centrale votre AWS Network Firewall, vos stratégies de pare-feu et vos groupes de règles.
Cette solution vous aide à collaborer et à gérer les modifications apportées à la configuration d'AWS Network Firewall à l'aide du flux de travail GitOps.
Détails techniques
Vous pouvez déployer automatiquement cette architecture à l’aide du guide d’implémentation et du modèle AWS CloudFormation qui l’accompagne.
Étape 1
Le modèle AWS CloudFormation déploie un cloud privé virtuel (VPC) d'inspection avec quatre sous-réseaux dans des zones de disponibilité sélectionnées au hasard au sein de la région où la solution est déployée.
Étape 1a
La solution utilise deux des sous-réseaux pour créer des pièces jointes AWS Transit Gateway pour vos VPC si vous fournissez un identifiant de passerelle de transit existant.
Étape 1b
La solution utilise les deux autres sous-réseaux pour créer des points de terminaison du AWS Network Firewall dans deux zones de disponibilité sélectionnées au hasard dans la région où la solution est déployée.
Étape 2
Le modèle CloudFormation crée un compartiment Amazon Simple Storage Service (Amazon S3) avec une configuration de pare-feu réseau par défaut qui autorise tout le trafic. Cela permet à AWS CodePipeline d'exécuter les étapes suivantes :
Étape 2a
Étape de validation : la solution valide la configuration du pare-feu réseau à l'aide du pare-feu réseau (API) avec le mode d'exécution à sec activé. Cela vous permet de détecter les problèmes inattendus avant de tenter une modification réelle. Cette étape vérifie également si tous les fichiers référencés de la configuration existent dans la structure de fichiers JSON.
Étape 2b
Étape de déploiement : la solution crée un nouveau pare-feu, une nouvelle politique de pare-feu et des groupes de règles. Si l'une des ressources existe déjà, la solution les met à jour. Cette étape permet également de détecter tout changement et d'y remédier en appliquant la dernière configuration depuis le compartiment S3.
Les modifications du groupe de règles reviennent à l'état d'origine si l'une des modifications du groupe de règles échoue. Le mode appliance est activé pour la connexion entre Transit Gateway et Amazon Virtual Private Cloud (Amazon VPC) afin d'éviter un trafic asymétrique. Pour plus d'informations, reportez-vous à la section Appliance dans un VPC à services partagés.
Étape 3
La solution crée des tables de routage Amazon VPC pour chaque zone de disponibilité. La cible de destination d'itinéraire par défaut pour chacun est le point de terminaison Amazon VPC pour Network Firewall.
Étape 4
La solution crée une table de routage partagée avec des sous-réseaux de pare-feu. La cible de destination de l'itinéraire par défaut est l'ID de la passerelle de transit. Cette route n'est créée que si l'ID de passerelle de transit est fourni dans les paramètres d'entrée de CloudFormation.
Étape 1
Le modèle AWS CloudFormation déploie un cloud privé virtuel (VPC) d'inspection avec quatre sous-réseaux dans des zones de disponibilité sélectionnées au hasard au sein de la région où la solution est déployée.
Étape 1a
La solution utilise deux des sous-réseaux pour créer des pièces jointes AWS Transit Gateway pour vos VPC si vous fournissez un identifiant de passerelle de transit existant.
Étape 1b
La solution utilise les deux autres sous-réseaux pour créer des points de terminaison du AWS Network Firewall dans deux zones de disponibilité sélectionnées au hasard dans la région où la solution est déployée.
Étape 2
Le modèle CloudFormation crée un compartiment Amazon Simple Storage Service (Amazon S3) avec une configuration de pare-feu réseau par défaut qui autorise tout le trafic. Cela permet à AWS CodePipeline d'exécuter les étapes suivantes :
Étape 2a
Étape de validation : la solution valide la configuration du pare-feu réseau à l'aide du pare-feu réseau (API) avec le mode d'exécution à sec activé. Cela vous permet de détecter les problèmes inattendus avant de tenter une modification réelle. Cette étape vérifie également si tous les fichiers référencés de la configuration existent dans la structure de fichiers JSON.
Étape 2b
Étape de déploiement : la solution crée un nouveau pare-feu, une nouvelle politique de pare-feu et des groupes de règles. Si l'une des ressources existe déjà, la solution les met à jour. Cette étape permet également de détecter tout changement et d'y remédier en appliquant la dernière configuration depuis le compartiment S3.
Les modifications du groupe de règles reviennent à l'état d'origine si l'une des modifications du groupe de règles échoue. Le mode appliance est activé pour la connexion entre Transit Gateway et Amazon Virtual Private Cloud (Amazon VPC) afin d'éviter un trafic asymétrique. Pour plus d'informations, reportez-vous à la section Appliance dans un VPC à services partagés.
Étape 3
La solution crée des tables de routage Amazon VPC pour chaque zone de disponibilité. La cible de destination d'itinéraire par défaut pour chacun est le point de terminaison Amazon VPC pour Network Firewall.
Étape 4
La solution crée une table de routage partagée avec des sous-réseaux de pare-feu. La cible de destination de l'itinéraire par défaut est l'ID de la passerelle de transit. Cette route n'est créée que si l'ID de passerelle de transit est fourni dans les paramètres d'entrée de CloudFormation.
- Date de publication