Panoramica
Automazione del firewall per il traffico di rete su AWS configura le risorse AWS necessarie per filtrare il traffico di rete. Questa soluzione fa risparmiare tempo automatizzando il processo di provisioning di Firewall di rete AWS centralizzato per analizzare il traffico tra gli Amazon Virtual Private Cloud (Amazon VPC).
Vantaggi
Questa soluzione permette di modificare i gruppi di regole e le policy del firewall nel pacchetto di configurazione nel repository AWS CodeCommit. In questo modo AWS CodePipeline viene invocato automaticamente per l'esecuzione della convalida e dell'implementazione.
Con questa soluzione puoi analizzare centinaia o migliaia di VPC e account Amazon in un unico punto. È anche possibile configurare e gestire centralmente Firewall di rete AWS, le policy del firewall e i gruppi di regole.
Questa soluzione permette di collaborare e gestire le modifiche alla configurazione di Firewall di rete AWS utilizzando il flusso di lavoro GitOps.
Dettagli tecnici
Questa architettura può essere implementata automaticamente consultando la Guida all'implementazione e il modello AWS CloudFormation allegato.
Fase 1
Il modello AWS CloudFormation implementa un VPC di ispezione con un totale di quattro sottoreti. Due delle sottoreti vengono utilizzate per creare collegamenti del gateway di transito al VPC e le altre due sottoreti vengono utilizzate per creare endpoint di Firewall di rete AWS.
Fase 2
Il modello CloudFormation crea un nuovo repository di AWS CodeCommit e una configurazione del firewall di rete che permette tutto il traffico di rete per impostazione predefinita. Questo modello include anche un set di esempi per consentire la creazione di nuovi gruppi di regole.
Fase 3
Modificando il pacchetto di configurazione nel repository CodeCommit viene richiamato l'AWS CodePipeline per eseguire le fasi di convalida e implementazione.
Fase 4
Questa soluzione crea le tabelle di routing diAmazon VPC per ogni zona di disponibilità con una destinazione di instradamento predefinita. Viene anche creata una tabella di routing condivisa con le sottoreti del firewall con l'ID del gateway di transito come destinazione del routing predefinito.
Fase 5
Questa soluzione crea anche due chiavi di crittografia del Sistema AWS di gestione delle chiavi (AWS KMS). Una delle chiavi viene utilizzata per crittografare gli oggetti nell'artefatto di Amazon Simple Storage Service (Amazon S3), nei bucket del codice sorgente e nei progetti di AWS CodeBuild. La seconda chiave viene utilizzata per crittografare le destinazioni di log del Firewall di rete.
Fase 6
I ruoli AWS Identity and Access Management (IAM) vengono creati per concedere le autorizzazioni alle fasi di CodePipeline e CodeBuild per l'accesso ai bucket S3 e la gestione delle risorse del Firewall di rete.
Fase 1
Il modello AWS CloudFormation implementa un VPC di ispezione con un totale di quattro sottoreti. Due delle sottoreti vengono utilizzate per creare collegamenti del gateway di transito al VPC e le altre due sottoreti vengono utilizzate per creare endpoint di Firewall di rete AWS.
Fase 2
Il modello CloudFormation crea un nuovo repository di AWS CodeCommit e una configurazione del firewall di rete che permette tutto il traffico di rete per impostazione predefinita. Questo modello include anche un set di esempi per consentire la creazione di nuovi gruppi di regole.
Fase 3
Modificando il pacchetto di configurazione nel repository CodeCommit viene richiamato l'AWS CodePipeline per eseguire le fasi di convalida e implementazione.
Fase 4
Questa soluzione crea le tabelle di routing diAmazon VPC per ogni zona di disponibilità con una destinazione di instradamento predefinita. Viene anche creata una tabella di routing condivisa con le sottoreti del firewall con l'ID del gateway di transito come destinazione del routing predefinito.
Fase 5
Questa soluzione crea anche due chiavi di crittografia del Sistema AWS di gestione delle chiavi (AWS KMS). Una delle chiavi viene utilizzata per crittografare gli oggetti nell'artefatto di Amazon Simple Storage Service (Amazon S3), nei bucket del codice sorgente e nei progetti di AWS CodeBuild. La seconda chiave viene utilizzata per crittografare le destinazioni di log del Firewall di rete.
Fase 6
I ruoli AWS Identity and Access Management (IAM) vengono creati per concedere le autorizzazioni alle fasi di CodePipeline e CodeBuild per l'accesso ai bucket S3 e la gestione delle risorse del Firewall di rete.
- Data di pubblicazione