Panoramica
L'analisi centralizzata della rete su AWS configura le risorse AWS necessarie per filtrare il traffico di rete. Questa soluzione fa risparmiare tempo automatizzando il processo di provisioning di Firewall di rete AWS centralizzato per analizzare il traffico tra gli Amazon Virtual Private Cloud (Amazon VPC).
Vantaggi
Questa soluzione permette di modificare i gruppi di regole e le policy del firewall nel pacchetto di configurazione nel bucket Amazon S3. In questo modo AWS CodePipeline viene invocato automaticamente per l'esecuzione della convalida e dell'implementazione.
Con questa soluzione puoi analizzare centinaia o migliaia di VPC e account Amazon in un unico punto. È anche possibile configurare e gestire centralmente Firewall di rete AWS, le policy del firewall e i gruppi di regole.
Questa soluzione permette di collaborare e gestire le modifiche alla configurazione di Firewall di rete AWS utilizzando il flusso di lavoro GitOps.
Dettagli tecnici
Questa architettura può essere implementata automaticamente consultando la Guida all'implementazione e il modello AWS CloudFormation allegato.
Fase 1
Il modello di AWS CloudFormation implementa un cloud privato virtuale (VPC) di analisi con un totale di quattro sottoreti in zone di disponibilità selezionate casualmente nella regione dove viene implementata la soluzione.
Fase 1a
La soluzione utilizza due delle sottoreti per creare collegamenti di AWS Transit Gateway per VPC nel caso in cui venga fornito un ID del gateway di transito esistente.
Fase 1b
La soluzione utilizza le altre due sottoreti per creare endpoint di Firewall di rete AWS in due zone di disponibilità selezionate casualmente nella regione in cui viene implementata la soluzione.
Fase 2
Il modello CloudFormation crea un bucket Amazon Simple Storage Service (Amazon S3) con una configurazione predefinita del firewall di rete che consente tutto il traffico. Ciò avvia AWS CodePipeline per eseguire le seguenti fasi:
Fase 2a
Fase di convalida: la soluzione convalida la configurazione del Firewall di rete utilizzando le API del Firewall di rete con la modalità test abilitata. Ciò consente di individuare problemi imprevisti prima di azzardare una modifica vera e propria. Questa fase controlla anche se tutti i file di riferimento della configurazione esistono nella struttura dei file JSON.
Fase 2b
Fase di implementazione: la soluzione crea un nuovo firewall, una policy del firewall e gruppi di regole. Se una delle risorse esiste già, la soluzione le aggiorna. Questa fase permette, inoltre, di rilevare eventuali modifiche e correzioni applicando la configurazione più recente dal bucket S3.
Le modifiche al gruppo di regole vengono ripristinate allo stato originale se una delle modifiche al gruppo di regole ha esito negativo. La modalità appliance si attiva per il collegamento da Transit Gateway ad Amazon Virtual Private Cloud (Amazon VPC) per evitare il traffico asimmetrico. Per ulteriori informazioni, consulta Appliance in un VPC di servizi condivisi.
Fase 3
La soluzione crea tabelle di routing Amazon VPC per ogni zona di disponibilità. La destinazione del percorso predefinito per ognuna è l'endpoint Amazon VPC per il Firewall di rete.
Fase 4
La soluzione crea una tabella di routing condivisa con sottoreti firewall. La destinazione del percorso predefinito è l'ID del gateway di transito. Questo percorso viene creato solo se l'ID del gateway di transito è fornito nei parametri di input di CloudFormation.
Fase 1
Il modello di AWS CloudFormation implementa un cloud privato virtuale (VPC) di analisi con un totale di quattro sottoreti in zone di disponibilità selezionate casualmente nella regione dove viene implementata la soluzione.
Fase 1a
La soluzione utilizza due delle sottoreti per creare collegamenti di AWS Transit Gateway per VPC nel caso in cui venga fornito un ID del gateway di transito esistente.
Fase 1b
La soluzione utilizza le altre due sottoreti per creare endpoint di Firewall di rete AWS in due zone di disponibilità selezionate casualmente nella regione in cui viene implementata la soluzione.
Fase 2
Il modello CloudFormation crea un bucket Amazon Simple Storage Service (Amazon S3) con una configurazione predefinita del firewall di rete che consente tutto il traffico. Ciò avvia AWS CodePipeline per eseguire le seguenti fasi:
Fase 2a
Fase di convalida: la soluzione convalida la configurazione del Firewall di rete utilizzando le API del Firewall di rete con la modalità test abilitata. Ciò consente di individuare problemi imprevisti prima di azzardare una modifica vera e propria. Questa fase controlla anche se tutti i file di riferimento della configurazione esistono nella struttura dei file JSON.
Fase 2b
Fase di implementazione: la soluzione crea un nuovo firewall, una policy del firewall e gruppi di regole. Se una delle risorse esiste già, la soluzione le aggiorna. Questa fase permette, inoltre, di rilevare eventuali modifiche e correzioni applicando la configurazione più recente dal bucket S3.
Le modifiche al gruppo di regole vengono ripristinate allo stato originale se una delle modifiche al gruppo di regole ha esito negativo. La modalità appliance si attiva per il collegamento da Transit Gateway ad Amazon Virtual Private Cloud (Amazon VPC) per evitare il traffico asimmetrico. Per ulteriori informazioni, consulta Appliance in un VPC di servizi condivisi.
Fase 3
La soluzione crea tabelle di routing Amazon VPC per ogni zona di disponibilità. La destinazione del percorso predefinito per ognuna è l'endpoint Amazon VPC per il Firewall di rete.
Fase 4
La soluzione crea una tabella di routing condivisa con sottoreti firewall. La destinazione del percorso predefinito è l'ID del gateway di transito. Questo percorso viene creato solo se l'ID del gateway di transito è fornito nei parametri di input di CloudFormation.
- Data di pubblicazione