Implementación de la inspección del tráfico en línea mediante dispositivos de seguridad de terceros - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Implementación de la inspección del tráfico en línea mediante dispositivos de seguridad de terceros

Pooja Banerjee, Amazon Web Services () AWS

Julio de 2023 (historial del documento)

Esta guía describe cómo implementar arquitecturas de inspección de tráfico en línea mediante el uso de dispositivos de firewall de terceros y AWS Transit Gatewaybalanceadores de carga Gateway en el. Nube de AWS Esta guía también explica cómo diseñar y diseñar sus nubes privadas virtuales (VPC) para cumplir con los requisitos de inspección del tráfico y comprender el flujo de tráfico en función de los escenarios de inspección del tráfico de la red.

La inspección de tráfico en línea le ayuda a filtrar y proteger el tráfico para proteger sus cargas de trabajo de actores malintencionados. Mediante el uso de firewalls, puede inspeccionar el tráfico de la red en tiempo real a medida que fluye del origen al destino y, a continuación, permitir o denegar el tráfico según las políticas del firewall. Esta guía está dirigida a los ingenieros de redes y seguridad que son responsables de administrar las redes de toda la empresa. La guía analiza los siguientes casos de uso de la inspección de tráfico:

  • Inspección del tráfico entre dos VPC de carga de trabajo

  • Supervisión del tráfico que va a Internet desde una VPC de carga de trabajo existente

  • Supervisión del tráfico desde una VPC con carga de trabajo a una instalación local mediante una conexión AWS Direct Connect

Actualmente hay disponibles varias implementaciones de inspección de tráfico, incluida una configuración activa o en espera, un modelo sándwich que utiliza la traducción de direcciones de red de origen (SNAT) con balanceadores de carga en cada lado de los firewalls de inspección y un modelo de superposición de VPN. Si bien estas opciones pueden tener inconvenientes en términos de escalabilidad, alta disponibilidad (HA) o exceso de complejidad, puede resolver estos problemas mediante un balanceador de carga de Gateway.

Los balanceadores de carga de gateway funcionan en las capas 3 y 4 del modelo de interconexión de sistemas abiertos (OSI). En la capa 3, un balanceador de carga de gateway encamina de forma transparente el paquete desde el origen a los dispositivos de terceros antes de enviarlo al destino de forma simétrica. En la capa 4, un balanceador de carga de Gateway proporciona una capacidad de equilibrio de carga escalable y de alta disponibilidad a los puntos finales, además de realizar comprobaciones de estado. Como los firewalls son dispositivos con estado, el flujo del origen al destino y el flujo de retorno del tráfico deben permanecer en el mismo dispositivo de firewall.

Esta guía proporciona una solución de inspección de tráfico para los tres casos de uso siguientes: