Visão geral
A inspeção de rede centralizada na AWS configura os recursos da AWS necessários para filtrar o tráfego de rede. Essa solução poupa tempo ao automatizar o processo de provisionamento de um AWS Network Firewall centralizado para inspecionar o tráfego entre as Amazon Virtual Private Clouds (Amazon VPCs).
Benefícios
Essa solução permite modificar grupos de regras e políticas de firewall no pacote de configuração no bucket do Amazon S3. Isso invoca automaticamente o AWS CodePipeline para executar a validação e a implantação.
Com essa solução, você pode inspecionar centenas ou milhares de Amazon VPCs e contas em um só lugar. Também pode configurar e gerenciar centralmente o AWS Network Firewall, políticas de firewall e grupos de regras.
Essa solução ajuda você a colaborar e gerenciar as alterações na configuração do AWS Network Firewall usando o fluxo de trabalho do GitOps.
Detalhes técnicos
É possível implantar automaticamente essa arquitetura ao usar o guia de implementação e o modelo do AWS CloudFormation que o acompanha.
Etapa 1
O modelo do AWS CloudFormation implanta uma nuvem privada virtual (VPC) de inspeção com quatro sub-redes em zonas de disponibilidade selecionadas aleatoriamente na região em que a solução está implantada.
Etapa 1a
A solução usa duas sub-redes para criar anexos do AWS Transit Gateway para suas VPCs se você fornecer um ID de gateway de trânsito existente.
Etapa 1b
A solução usa as outras duas sub-redes para criar endpoints do AWS Network Firewall em duas zonas de disponibilidade selecionadas aleatoriamente na região em que a solução está implantada.
Etapa 2
O modelo do CloudFormation cria um bucket do Amazon Simple Storage Service (Amazon S3) com uma configuração padrão de firewall de rede que permite todo o tráfego. Isso inicia o AWS CodePipeline para executar os seguintes estágios:
Etapa 2a
Etapa de validação: a solução valida a configuração do Network Firewall usando o Network Firewall (APIs com o modo de execução a seco ativado). Isso permite que você encontre problemas inesperados antes de tentar uma alteração real. Esse estágio também verifica se todos os arquivos referenciados na configuração existem na estrutura de arquivos JSON.
Etapa 2b
Estágio de implantação: a solução cria um firewall, a política de firewall e grupos de regras. Se algum dos recursos já existir, a solução atualizará os recursos. Esse estágio também ajuda a detectar quaisquer alterações e correções aplicando a configuração mais recente do bucket do S3.
As alterações do grupo de regras serão revertidas para o estado original se uma das alterações do grupo de regras falhar. O modo de dispositivo é ativado para a conexão do Transit Gateway à Amazon Virtual Private Cloud (Amazon VPC) para evitar tráfego assimétrico. Para obter mais informações, consulte Appliance in a shared services VPC.
Etapa 3
A solução cria tabelas de rotas da Amazon VPC para cada zona de disponibilidade. O destino de rota padrão para cada um é o endpoint da Amazon VPC para Network Firewall.
Etapa 4
A solução cria uma tabela de rotas compartilhada com sub-redes de firewall. O destino de rota padrão é o ID do gateway de trânsito. Essa rota só é criada se o ID do gateway de trânsito for fornecido nos parâmetros de entrada do CloudFormation.
Etapa 1
O modelo do AWS CloudFormation implanta uma nuvem privada virtual (VPC) de inspeção com quatro sub-redes em zonas de disponibilidade selecionadas aleatoriamente na região em que a solução está implantada.
Etapa 1a
A solução usa duas sub-redes para criar anexos do AWS Transit Gateway para suas VPCs se você fornecer um ID de gateway de trânsito existente.
Etapa 1b
A solução usa as outras duas sub-redes para criar endpoints do AWS Network Firewall em duas zonas de disponibilidade selecionadas aleatoriamente na região em que a solução está implantada.
Etapa 2
O modelo do CloudFormation cria um bucket do Amazon Simple Storage Service (Amazon S3) com uma configuração padrão de firewall de rede que permite todo o tráfego. Isso inicia o AWS CodePipeline para executar os seguintes estágios:
Etapa 2a
Etapa de validação: a solução valida a configuração do Network Firewall usando o Network Firewall (APIs com o modo de execução a seco ativado). Isso permite que você encontre problemas inesperados antes de tentar uma alteração real. Esse estágio também verifica se todos os arquivos referenciados na configuração existem na estrutura de arquivos JSON.
Etapa 2b
Estágio de implantação: a solução cria um firewall, a política de firewall e grupos de regras. Se algum dos recursos já existir, a solução atualizará os recursos. Esse estágio também ajuda a detectar quaisquer alterações e correções aplicando a configuração mais recente do bucket do S3.
As alterações do grupo de regras serão revertidas para o estado original se uma das alterações do grupo de regras falhar. O modo de dispositivo é ativado para a conexão do Transit Gateway à Amazon Virtual Private Cloud (Amazon VPC) para evitar tráfego assimétrico. Para obter mais informações, consulte Appliance in a shared services VPC.
Etapa 3
A solução cria tabelas de rotas da Amazon VPC para cada zona de disponibilidade. O destino de rota padrão para cada um é o endpoint da Amazon VPC para Network Firewall.
Etapa 4
A solução cria uma tabela de rotas compartilhada com sub-redes de firewall. O destino de rota padrão é o ID do gateway de trânsito. Essa rota só é criada se o ID do gateway de trânsito for fornecido nos parâmetros de entrada do CloudFormation.
- Data de publicação