Mise en œuvre de l’inspection du trafic en ligne à l’aide d’appareils de sécurité tiers - AWS Conseils prescriptifs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mise en œuvre de l’inspection du trafic en ligne à l’aide d’appareils de sécurité tiers

Pooja Banerjee, Amazon Web Services ()AWS

Juillet 2023 (historique du document)

Ce guide explique comment implémenter des architectures d'inspection du trafic en ligne à l'aide d'appareils de pare-feu tiers et d'équilibreurs de charge de passerelle sur le. AWS Transit Gateway AWS Cloud Ce guide explique également comment concevoir et structurer vos clouds privés virtuels (VPCs) afin de répondre aux exigences d'inspection du trafic et de comprendre le flux de trafic sur la base de scénarios d'inspection du trafic réseau.

L'inspection du trafic en ligne vous aide à filtrer et à sécuriser le trafic afin de protéger vos charges de travail contre les acteurs malveillants. En utilisant des pare-feux, vous pouvez inspecter le trafic réseau en temps réel pendant qu'il circule de la source à la destination, puis autoriser ou refuser le trafic en fonction des politiques de pare-feu. Ce guide est destiné aux ingénieurs réseau et en sécurité chargés de gérer les réseaux à l'échelle de l'entreprise. Le guide décrit les cas d'utilisation suivants en matière d'inspection du trafic :

  • Inspection du trafic entre deux charges de travail VPCs

  • Surveillance du trafic vers Internet à partir d'un VPC de charge de travail existant

  • Surveillance du trafic entre un VPC de charge de travail et le trafic sur site via une connexion AWS Direct Connect

Plusieurs déploiements d'inspection du trafic sont actuellement disponibles, notamment une configuration active ou en veille, un modèle sandwich qui utilise la traduction d'adresses réseau source (SNAT) avec des équilibreurs de charge de chaque côté des pare-feux d'inspection et un modèle de superposition VPN. Bien que ces options puissent présenter des inconvénients en termes d'évolutivité, de haute disponibilité (HA) ou de complexité excessive, vous pouvez résoudre ces problèmes en utilisant un Gateway Load Balancer.

Les équilibreurs de charge de passerelle fonctionnent aux couches 3 et 4 du modèle d'interconnexion des systèmes ouverts (OSI). Au niveau de la couche 3, un Gateway Load Balancer achemine le paquet de manière transparente de la source vers des appareils tiers avant de l'envoyer à la destination de manière symétrique. Au niveau de la couche 4, un Gateway Load Balancer fournit une capacité d'équilibrage de charge hautement disponible et évolutive aux terminaux, en plus d'effectuer des contrôles de santé. Les pare-feux étant des dispositifs dynamiques, le flux de la source vers la destination et le flux de retour du trafic doivent rester sur le même dispositif de pare-feu.

Ce guide fournit une solution d'inspection du trafic pour les trois cas d'utilisation suivants :