Inspeksi masuk terpusat dengan peralatan pihak ketiga - Membangun Infrastruktur Multi VPC AWS Jaringan yang Skalabel dan Aman
KeuntunganPertimbangan utama

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Inspeksi masuk terpusat dengan peralatan pihak ketiga

Dalam pola desain arsitektur ini, Anda menggunakan peralatan firewall pihak ketiga di Amazon EC2 di beberapa zona ketersediaan di belakang Elastic Load Balancer (ELB) seperti Aplikasi/Penyeimbang Beban Jaringan dalam VPC Inspeksi terpisah.

VPC Inspeksi bersama dengan VPC Spoke lainnya terhubung bersama melalui Transit Gateway sebagai lampiran VPC. Aplikasi di Spoke VPC adalah frontend oleh ELB internal yang dapat berupa ALB atau NLB tergantung pada jenis aplikasi. Klien melalui internet terhubung ke DNS ELB eksternal di VPC inspeksi yang mengarahkan lalu lintas ke salah satu peralatan Firewall. Firewall memeriksa lalu lintas dan kemudian mengarahkan lalu lintas ke Spoke VPC melalui Transit Gateway menggunakan DNS ELB internal seperti yang ditunjukkan pada gambar berikut. Untuk informasi selengkapnya mengenai inspeksi keamanan masuk dengan peralatan pihak ketiga, lihat Cara mengintegrasikan peralatan firewall pihak ketiga ke dalam postingan blog lingkungan AWS.

Diagram yang menggambarkan inspeksi lalu lintas masuk terpusat menggunakan peralatan pihak ketiga dan ELB

Inspeksi lalu lintas masuk terpusat menggunakan peralatan pihak ketiga dan ELB

Keuntungan

  • Arsitektur ini dapat mendukung semua jenis aplikasi untuk inspeksi dan kemampuan inspeksi lanjutan yang ditawarkan melalui peralatan firewall pihak ketiga.

  • Pola ini mendukung perutean berbasis DNS dari peralatan firewall ke VPC spoke, yang memungkinkan aplikasi di Spoke VPC untuk menskalakan secara independen di belakang ELB.

  • Anda dapat menggunakan Auto Scaling dengan ELB untuk menskalakan peralatan firewall di VPC Inspeksi.

Pertimbangan utama

  • Anda perlu menerapkan beberapa peralatan firewall di seluruh Availability Zone untuk ketersediaan tinggi.

  • Firewall perlu dikonfigurasi dengan dan melakukan Source NAT untuk mempertahankan simetri aliran, yang berarti alamat IP klien tidak akan terlihat oleh aplikasi.

  • Pertimbangkan untuk menggunakan Transit Gateway dan Inspeksi VPC di akun Layanan Jaringan.

  • Biaya lisensi/dukungan firewall vendor pihak ketiga tambahan. Biaya Amazon EC2 tergantung pada jenis instans.