Ispezione del traffico in entrata da Internet utilizzando dispositivi firewall con Gateway Load Balancer

I clienti utilizzano firewall di nuova generazione (NGFW) e sistemi di prevenzione delle intrusioni (IPS) di terze parti come parte della loro strategia di difesa approfondita. Tradizionalmente si tratta spesso di hardware o software/dispositivi virtuali dedicati. È possibile utilizzare Gateway Load Balancer per scalare queste appliance virtuali orizzontalmente per ispezionare il traffico da e verso il VPC, come illustrato nella figura seguente.

Ispezione centralizzata del traffico in ingresso tramite dispositivi firewall con Gateway Load Balancer

Nell'architettura precedente, gli endpoint Gateway Load Balancer vengono distribuiti in ciascuna zona di disponibilità in un VPC edge separato. I firewall di nuova generazione, i sistemi di prevenzione delle intrusioni ecc. vengono implementati dietro il Gateway Load Balancer nel VPC centralizzato dell'appliance. Questo VPC dell'appliance può trovarsi nello stesso account AWS dei VPC spoke o in un account AWS diverso. Le appliance virtuali possono essere configurate per utilizzare i gruppi Auto Scaling e vengono registrate automaticamente con Gateway Load Balancer, consentendo la scalabilità automatica del livello di sicurezza.

Queste appliance virtuali possono essere gestite accedendo alle relative interfacce di gestione tramite un Internet Gateway (IGW) o utilizzando una configurazione bastion host nel VPC dell'appliance.

Utilizzando la funzionalità di routing in ingresso VPC, la tabella edge route viene aggiornata per instradare il traffico in entrata da Internet alle appliance firewall dotate di Gateway Load Balancer. Il traffico ispezionato viene instradato tramite gli endpoint Gateway Load Balancer verso l'istanza VPC di destinazione. Per informazioni dettagliate sui vari modi di utilizzare AWS Gateway Load Balancer: Supported architecture patterns, consulta il post sul blog Introducing Gateway Load Balancer: Supported architecture patterns.