Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Implementing inline traffic inspection using third-party security appliances
Pooja Banerjee, Amazon Web Services ()AWS
Luglio 2023 (cronologia del documento)
Questa guida descrive come implementare architetture di ispezione del traffico in linea utilizzando dispositivi firewall di terze parti e Gateway Load Balancer su. AWS Transit Gateway Cloud AWS Questa guida spiega anche come progettare e progettare i cloud privati virtuali (VPCs) per soddisfare i requisiti di ispezione del traffico e comprendere il flusso del traffico in base agli scenari di ispezione del traffico di rete.
L'ispezione del traffico in linea ti aiuta a controllare e proteggere il traffico per proteggere i carichi di lavoro da attori malintenzionati. Utilizzando i firewall, è possibile ispezionare il traffico di rete in tempo reale mentre fluisce dalla sorgente alla destinazione e quindi consentire o negare il traffico in base alle politiche del firewall. Questa guida è destinata ai tecnici della rete e della sicurezza responsabili della gestione delle reti a livello aziendale. La guida illustra i seguenti casi d'uso relativi all'ispezione del traffico:
-
Ispezione del traffico tra due carichi di lavoro VPCs
-
Monitoraggio del traffico diretto a Internet da un VPC con carico di lavoro esistente
-
Monitoraggio del traffico da un VPC per carichi di lavoro a quello locale tramite una connessione AWS Direct Connect
Attualmente sono disponibili diverse implementazioni di ispezione del traffico, tra cui una configurazione attiva o in standby, un modello sandwich che utilizza la traduzione degli indirizzi di rete di origine (SNAT) con bilanciatori del carico su ciascun lato dei firewall di ispezione e un modello di overlay VPN. Sebbene queste opzioni possano presentare degli svantaggi in termini di scalabilità, alta disponibilità (HA) o eccessiva complessità, è possibile risolvere questi problemi utilizzando un Gateway Load Balancer.
I Gateway Load Balancer funzionano al livello 3 e al livello 4 del modello Open Systems Interconnection (OSI). Al livello 3, un Gateway Load Balancer indirizza in modo trasparente il pacchetto dalla sorgente alle apparecchiature di terze parti prima di inviarlo alla destinazione in modo simmetrico. A livello 4, un Gateway Load Balancer fornisce funzionalità di bilanciamento del carico altamente disponibili e scalabili agli endpoint, oltre a eseguire controlli di integrità. Poiché i firewall sono dispositivi dotati di stato, il flusso dall'origine alla destinazione e il flusso di ritorno del traffico devono rimanere sullo stesso dispositivo firewall.
Questa guida fornisce una soluzione di ispezione del traffico per i seguenti tre casi d'uso:
