Bewährte Methoden - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden

Wir empfehlen die folgenden bewährten Methoden für den Leitfaden zur Migration Ihrer Perimeterzonenanwendungen in AWS Cloud:

  • Entwerfen Sie Ihre Zielarchitektur so, dass sie Netzwerk-Firewalls von Drittanbietern nur unterstützt, wenn Sie die Firewalls über einen Gateway Load Balancer dem VPC-Netzwerk der Anwendung zugänglich machen können.

  • Verwenden Sie ein vertrauenswürdiges Netzwerk, um den Datenverkehrsfluss zwischen der VPC Ihrer AWS Anwendung und Ihrer lokalen Umgebung zu sichern. Sie können ein vertrauenswürdiges Netzwerk aufbauen, indem Sie AWS Direct Connect oder AWS Site-to-Site VPN verwenden.

  • Verwenden Sie Ihre Zielarchitektur, um Webanwendungen nicht vertrauenswürdigen Netzwerken zugänglich zu machen, aber vermeiden Sie es, sie mit einer API zu verwenden.

  • Verwenden Sie VPC Flow Logs während der Testphase. Der Grund dafür ist, dass es mehrere miteinander verbundene Komponenten geben kann, die korrekt konfiguriert und überprüft werden müssen.

  • Überprüfen Sie AWS Network Firewall während der Entwurfsphase der Migration die für jede Anwendung erforderlichen Regeln für eingehenden und ausgehenden Datenverkehr und deren Verfügbarkeit.

  • Wenn ein externer Dienst AWS-Service wie Amazon Simple Storage Service (Amazon S3) oder Amazon DynamoDB erforderlich ist, empfehlen wir, diesen Service über Endpunkte (innerhalb des Subnetzes des Endpunkts) für die Anwendungs-VPC verfügbar zu machen. Dadurch wird die Kommunikation über das nicht vertrauenswürdige Netzwerk verhindert.

  • Stellen Sie den Zugriff auf die Ressourcen (in diesem Fall Amazon) bereit EC2, AWS Systems Manager Session Managerum direkten SSH-Zugriff auf die Ressourcen zu vermeiden.

  • Der Application Load Balancer bietet Hochverfügbarkeit für die Anwendung und das Routing von eingehendem und ausgehendem Datenverkehr mithilfe der Netzwerk-Firewall. Es ist kein separater Load Balancer für das Sicherheitssubnetz erforderlich.

  • Beachten Sie, dass der Application Load Balancer ein mit dem Internet verbundener Load Balancer ist, auch wenn das Subnetz des Endpunkts keinen direkten Internetzugang hat. Es gibt kein Internet-Gateway am Routing-Tabellen-Endpunkt A und am Routing-Tabellen-Endpunkt B im Diagramm im Abschnitt der Perimeterzonen-Architektur basierend auf Netzwerk-Firewall in diesem Handbuch. Das Subnetz ist durch eine Netzwerk-Firewall geschützt und hat über die Netzwerk-Firewall Internetzugang.

  • Verwenden Sie die Netzwerk-Firewall, um eingehenden und ausgehenden Webdatenverkehr für unverschlüsselten Webverkehr zu filtern.