Visão geral
O Automação de Firewall para Tráfego de Rede na AWS configura os recursos da AWS necessários para filtrar o tráfego de rede. Essa solução economiza tempo ao automatizar o processo de provisionamento de um AWS Network Firewall centralizado para inspecionar o tráfego entre suas Amazon Virtual Private Clouds (Amazon VPCs).
Benefícios
Essa solução permite modificar grupos de regras e políticas de firewall no pacote de configuração no repositório do AWS CodeCommit. Isso chama automaticamente o AWS CodePipeline para executar a validação e a implantação.
Com essa solução, você pode inspecionar centenas ou milhares de Amazon VPCs e contas em um só lugar. Também pode configurar e gerenciar centralmente o AWS Network Firewall, políticas de firewall e grupos de regras.
Essa solução ajuda você a colaborar e gerenciar as alterações na configuração do AWS Network Firewall usando o fluxo de trabalho do GitOps.
Detalhes técnicos
Você pode implantar essa arquitetura automaticamente usando o Guia de Implementação e o modelo que acompanha o AWS CloudFormation.
Etapa 1
O modelo do AWS CloudFormation implanta uma VPC de inspeção com um total de quatro sub-redes. Duas das sub-redes são usadas para criar anexos do VPC Transit Gateway e as outras duas sub-redes são usadas para criar endpoints do AWS Network Firewall.
Etapa 2
O modelo do CloudFormation cria um novo repositório do AWS CodeCommit e uma configuração de firewall de rede que permite todo o tráfego de rede por padrão. Ele também inclui um conjunto de exemplos para ajudar você a criar novos grupos de regras.
Etapa 3
Modificar o pacote de configuração no repositório do CodeCommit invoca o AWS CodePipeline para executar os estágios de validação e implantação.
Etapa 4
A solução cria tabelas de rotas da Amazon VPC para cada zona de disponibilidade com um destino de rota padrão. Uma tabela de rotas compartilhadas com sub-redes de firewall também é criada com o ID de gateway de trânsito como destino de rota padrão.
Etapa 5
Esta solução também cria duas chaves de criptografia do AWS Key Management Service (AWS KMS). Uma delas é usada para criptografar objetos no artefato do Amazon Simple Storage Service (Amazon S3), buckets de código-fonte e projetos do AWS CodeBuild. A segunda chave é usada para criptografar os destinos de log do Network Firewall.
Etapa 6
Perfis do AWS Identity and Access Management (IAM) são criadas para conceder permissões aos estágios do CodePipeline e do CodeBuild para acessar buckets do S3 e gerenciar recursos do Network Firewall.
Etapa 1
O modelo do AWS CloudFormation implanta uma VPC de inspeção com um total de quatro sub-redes. Duas das sub-redes são usadas para criar anexos do VPC Transit Gateway e as outras duas sub-redes são usadas para criar endpoints do AWS Network Firewall.
Etapa 2
O modelo do CloudFormation cria um novo repositório do AWS CodeCommit e uma configuração de firewall de rede que permite todo o tráfego de rede por padrão. Ele também inclui um conjunto de exemplos para ajudar você a criar novos grupos de regras.
Etapa 3
Modificar o pacote de configuração no repositório do CodeCommit invoca o AWS CodePipeline para executar os estágios de validação e implantação.
Etapa 4
A solução cria tabelas de rotas da Amazon VPC para cada zona de disponibilidade com um destino de rota padrão. Uma tabela de rotas compartilhadas com sub-redes de firewall também é criada com o ID de gateway de trânsito como destino de rota padrão.
Etapa 5
Esta solução também cria duas chaves de criptografia do AWS Key Management Service (AWS KMS). Uma delas é usada para criptografar objetos no artefato do Amazon Simple Storage Service (Amazon S3), buckets de código-fonte e projetos do AWS CodeBuild. A segunda chave é usada para criptografar os destinos de log do Network Firewall.
Etapa 6
Perfis do AWS Identity and Access Management (IAM) são criadas para conceder permissões aos estágios do CodePipeline e do CodeBuild para acessar buckets do S3 e gerenciar recursos do Network Firewall.
- Data de publicação