Implementierung einer Inline-Verkehrsinspektion mithilfe von Sicherheitsanwendungen von Drittanbietern - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Implementierung einer Inline-Verkehrsinspektion mithilfe von Sicherheitsanwendungen von Drittanbietern

Pooja Banerjee, Amazon Web Services () AWS

Juli 2023 (Dokumentenhistorie)

In diesem Handbuch wird beschrieben, wie Inline-Architekturen zur Verkehrsinspektion mithilfe von Firewall-Appliances von Drittanbietern und Gateway-Load-Balancern auf dem implementiert werden. AWS Transit GatewayAWS Cloud In diesem Leitfaden wird auch erläutert, wie Sie Ihre virtuellen privaten Clouds (VPCs) entwerfen und einrichten, um die Anforderungen an die Verkehrsinspektion zu erfüllen und den Verkehrsfluss anhand von Szenarien zur Netzwerkverkehrsinspektion zu verstehen.

Die Inline-Verkehrsinspektion hilft Ihnen dabei, den Datenverkehr zu überprüfen und zu sichern, um Ihre Workloads vor böswilligen Akteuren zu schützen. Mithilfe von Firewalls können Sie den Netzwerkverkehr in Echtzeit überprüfen, während er von der Quelle zum Ziel fließt, und dann den Datenverkehr auf der Grundlage der Firewall-Richtlinien zulassen oder ablehnen. Dieses Handbuch richtet sich an Netzwerk- und Sicherheitsingenieure, die für die Verwaltung unternehmensweiter Netzwerke verantwortlich sind. In dem Leitfaden werden die folgenden Anwendungsfälle der Verkehrsinspektion erörtert:

  • Überprüfen des Datenverkehrs zwischen zwei Workload-VPCs

  • Überwachung des Datenverkehrs, der von einer vorhandenen Workload-VPC ins Internet geht

  • Überwachung des Datenverkehrs von einer Workload-VPC zu lokalen Standorten über eine Verbindung AWS Direct Connect

Derzeit sind mehrere Implementierungen für die Verkehrsinspektion verfügbar, darunter ein aktives oder ein Bereitschaftsmodell, ein Sandwichmodell, das die Quellnetzadressübersetzung (SNAT) mit Load Balancern auf jeder Seite der Inspektions-Firewalls verwendet, und ein VPN-Overlay-Modell. Diese Optionen können zwar Nachteile in Bezug auf Skalierbarkeit, Hochverfügbarkeit (HA) oder übermäßige Komplexität haben, aber Sie können diese Probleme lösen, indem Sie einen Gateway Load Balancer verwenden.

Gateway Load Balancer arbeiten auf Layer 3 und Layer 4 des Open Systems Interconnection (OSI) -Modells. Auf Schicht 3 leitet ein Gateway Load Balancer das Paket transparent von der Quelle an Geräte von Drittanbietern weiter, bevor es symmetrisch an das Ziel gesendet wird. Auf Ebene 4 bietet ein Gateway Load Balancer hochverfügbare und skalierbare Load-Balancing-Funktionen für die Endgeräte und führt zusätzlich zur Durchführung von Zustandsprüfungen durch. Da es sich bei Firewalls um Stateful-Appliances handelt, müssen der Fluss von der Quelle zum Ziel und der Rückfluss des Datenverkehrs auf derselben Firewall-Appliance verbleiben.

Dieser Leitfaden bietet eine Lösung zur Verkehrsinspektion für die folgenden drei Anwendungsfälle: