Implementar a inspeção de tráfego em linha usando appliances de segurança de terceiros - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Implementar a inspeção de tráfego em linha usando appliances de segurança de terceiros

Pooja Banerjee, Amazon Web Services ()AWS

Julho de 2023 (histórico do documento)

Este guia descreve como implementar arquiteturas de inspeção de tráfego em linha usando dispositivos de firewall de terceiros e balanceadores de carga de gateway no. AWS Transit Gateway Nuvem AWS Este guia também explica como projetar e arquitetar suas nuvens privadas virtuais (VPCs) para atender aos requisitos de inspeção de tráfego e entender o fluxo de tráfego com base em cenários de inspeção de tráfego de rede.

A inspeção de tráfego em linha ajuda você a filtrar e proteger o tráfego para proteger suas cargas de trabalho contra agentes mal-intencionados. Ao usar firewalls, você pode inspecionar o tráfego da rede em tempo real à medida que ele flui da origem para o destino e, em seguida, permitir ou negar o tráfego com base nas políticas de firewall. Este guia é destinado a engenheiros de rede e segurança responsáveis pelo gerenciamento de redes em toda a empresa. O guia discute os seguintes casos de uso de inspeção de tráfego:

  • Inspecionando o tráfego entre duas cargas de trabalho VPCs

  • Monitorando o tráfego que vai para a Internet a partir de uma VPC de carga de trabalho existente

  • Monitoramento do tráfego de uma VPC de carga de trabalho para o local por meio de uma conexão AWS Direct Connect

Várias implantações de inspeção de tráfego estão disponíveis atualmente, incluindo uma configuração ativa ou em espera, um modelo sanduíche que usa tradução de endereços de rede de origem (SNAT) com balanceadores de carga em cada lado dos firewalls de inspeção e um modelo de sobreposição de VPN. Embora essas opções possam ter desvantagens em termos de escalabilidade, alta disponibilidade (HA) ou complexidade excessiva, você pode resolver esses problemas usando um Gateway Load Balancer.

Os balanceadores de carga de gateway funcionam nas camadas 3 e 4 do modelo de interconexão de sistemas abertos (OSI). Na camada 3, um Gateway Load Balancer roteia de forma transparente o pacote da origem para dispositivos de terceiros antes de enviá-lo ao destino de forma simétrica. Na camada 4, um Gateway Load Balancer fornece capacidade de balanceamento de carga altamente disponível e escalável para os endpoints, além de realizar verificações de integridade. Como os firewalls são dispositivos com estado, o fluxo da origem ao destino e o fluxo de retorno do tráfego devem permanecer no mesmo dispositivo de firewall.

Este guia fornece uma solução de inspeção de tráfego para os três casos de uso a seguir: