Implemente un firewall con AWS Network Firewall y AWS Transit Gateway - Recomendaciones de AWS
ResumenRequisitos previos y limitacionesArquitecturaHerramientasEpicsRecursos relacionados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Implemente un firewall con AWS Network Firewall y AWS Transit Gateway

Creado por Shrikant Patil (AWS)

Repositorio de códigos: aws-network-firewall-deployment - with-transit-gateway

Entorno: PoC o piloto

Tecnologías: redes DevOps; seguridad, identidad y conformidad

Servicios de AWS: AWS Network Firewall; AWS Transit Gateway; Amazon VPC; Amazon CloudWatch

Resumen

Este patrón muestra cómo implementar un firewall mediante AWS Network Firewall y AWS Transit Gateway. Los recursos de Network Firewall se implementan mediante una CloudFormation plantilla de AWS. Network Firewall escala automáticamente con el tráfico de la red y puede admitir cientos de miles de conexiones, por lo que no tiene que preocuparse por crear y mantener su propia infraestructura de seguridad de red. Una puerta de enlace de tránsito es un centro de tránsito de red que puede utilizar para interconectar las nubes virtuales privadas (VPC) y las redes en las instalaciones.

En este patrón, también aprenderá a incluir una VPC de inspección en la arquitectura de su red. Por último, este patrón explica cómo utilizar Amazon CloudWatch para supervisar la actividad de su firewall en tiempo real.

Consejo: se recomienda evitar el uso de una subred de Network Firewall para implementar otros servicios de AWS. Esto se debe a que Network Firewall no puede inspeccionar el tráfico de fuentes o destinos dentro de la subred de un firewall.

Requisitos previos y limitaciones

Requisitos previos 

  • Una cuenta de AWS activa

  • Permisos de rol y política de AWS Identity and Access Management (IAM)

  • CloudFormation permisos de plantilla

Limitaciones

Es posible que tenga problemas con el filtrado de dominios y que necesite un tipo diferente de configuración. Para obtener más información, consulte grupos de reglas de lista de dominios con estado en AWS Network Firewall en la documentación de Network Firewall.

Arquitectura

Pila de tecnología

  • Amazon CloudWatch Logs

  • Amazon VPC

  • AWS Network Firewall

  • AWS Transit Gateway

Arquitectura de destino

El siguiente diagrama muestra cómo utilizar Network Firewall y Transit Gateway para inspeccionar el tráfico:

AWS Transit Gateway conecta la VPC de inspección, la VPC de salida y las VPC de dos radios.

La arquitectura incluye los siguientes componentes:

  • Su aplicación está alojada en las VPC de dos radios. Las VPC se supervisan mediante Network Firewall.

  • La VPC de salida tiene acceso directo a la puerta de enlace de Internet, pero no está protegida por Network Firewall.

  • La VPC de inspección es donde se implementa Network Firewall.

Automatizar y escalar

Puede usarlo CloudFormationpara crear este patrón utilizando la infraestructura como código.

Herramientas

Servicios de AWS

  • Amazon CloudWatch Logs le ayuda a centralizar los registros de todos sus sistemas, aplicaciones y servicios de AWS para que pueda supervisarlos y archivarlos de forma segura.

  • Amazon Virtual Private Cloud (Amazon VPC) le permite lanzar recursos de AWS en una red virtual que haya definido. Esta red virtual es similar a la red tradicional que utiliza en su propio centro de datos, con los beneficios de usar la infraestructura escalable de AWS.

  • AWS Network Firewall es un servicio de detección y prevención de intrusiones y de firewall de red con estado y administrado para nubes privadas virtuales (VPC) en la nube de AWS.

  • AWS Transit Gateway es un concentrador central que conecta las VPC y las redes en las instalaciones.

Código

El código de este patrón está disponible en el repositorio de implementación de GitHub AWS Network Firewall con Transit Gateway. Puede usar la CloudFormation plantilla de este repositorio para implementar una sola VPC de inspección que utilice Network Firewall.

Epics

TareaDescripciónHabilidades requeridas

Prepare e implemente la CloudFormation plantilla.

  1. Descarga la cloudformation/aws_nw_fw.yml plantilla del GitHub repositorio.

  2. Actualice la plantilla con sus valores.

  3. Implemente la plantilla.

AWS DevOps
TareaDescripciónHabilidades requeridas

Cree una puerta de enlace de tránsito.

  1. Inicie sesión en la consola de administración de AWS y abra la consola de Amazon VPC.

  2. En el panel de navegación, elija Transit Gateways (Puertas de enlace de tránsito).

  3. Elija Create Transit Gateway (Crear puerta de enlace de tránsito).

  4. En Name tag (Etiqueta de nombre), puede escribir un nombre para la puerta de enlace de tránsito.

  5. En Description (Descripción), escriba una descripción para la puerta de enlace de tránsito.

  6. En número de sistema autónomo (ASN) de Amazon, deje el valor ASN predeterminado.

  7. Seleccione la opción de compatibilidad con DNS.

  8. Seleccione la opción de compatibilidad con VPN ECMP.

  9. Seleccione la opción de asociación de tablas de enrutamiento predeterminada. Esta opción asocia automáticamente las conexiones de puerta de enlace de tránsito a la tabla de enrutamiento predeterminada de la puerta de enlace de tránsito.

  10. Seleccione la opción de propagación de tablas de enrutamiento predeterminada. Esta opción propaga automáticamente las conexiones de puerta de enlace de tránsito a la tabla de enrutamiento predeterminada de la puerta de enlace de tránsito.

  11. Elija Create Transit Gateway (Crear puerta de enlace de tránsito).

AWS DevOps

Cree conexiones de puerta de enlace de tránsito.

Cree una conexión de puerta de enlace de tránsito para lo siguiente:

  • Una conexión de inspección en la subred de LA VPC de inspección y Transit Gateway

  • Una conexión de SpokeVPCA en la VPCA radial y en la subred privada

  • Una conexión de SpokeVPCB en la VPCB radial y en la subred privada

  • Una conexión de EgressVPC en la VPC de salida y en la subred privada

AWS DevOps

Cree una tabla de enrutamiento de la puerta de enlace de tránsito.

  1. Cree una tabla de enrutamiento de la puerta de enlace de tránsito para la VPC radial.. Esta tabla de enrutamiento debe estar asociada a todas las VPC distintas de la VPC de inspección.

  2. Cree una tabla de enrutamiento de la puerta de enlace de tránsito para el firewall. Esta tabla de enrutamiento debe estar asociada a la VPC solamente.

  3. Añada una ruta a la tabla de enrutamiento de la puerta de enlace de tránsito para el firewall.

    • Para 0.0.0/0, utilice la conexión EgressVPC.

    • Para el bloque CIDR de SpokeVPCA, utilice la conexión SpokeVPC1.

    • Para el bloque CIDR de SpokeVPCB, utilice el adjunto SpokeVPC2.

  4. Añada una ruta a la tabla de enrutamiento de la puerta de enlace de tránsito para la VPC radial. Para 0.0.0/0, utilice la conexión de la VPC de inspección.

AWS DevOps
TareaDescripciónHabilidades requeridas

Crea un firewall en la VPC de inspección.

  1. Inicie sesión en la consola de administración de AWS y abra la consola de Amazon VPC.

  2. En el panel de navegación, en Firewall de red, seleccione Firewalls.

  3. Seleccione Crear firewall.

  4. En Nombre, introduzca el nombre que desea utilizar para identificar este firewall. No puede cambiar el nombre de un firewall después de crearlo.

  5. Para la VPC, seleccione la VPC de inspección.

  6. En Zona de disponibilidad y subred, seleccione la zona y la subred del firewall que identificó.

  7. En la sección Política de firewall asociada, elija Asociar una política de firewall existente y, a continuación, seleccione la política de firewall que creó anteriormente.

  8. Seleccione Crear firewall.

AWS DevOps

Cree una política de firewall.

  1. Inicie sesión en la consola de administración de AWS y abra la consola de Amazon VPC.

  2. En el panel de navegación, en Network Firewall, elija Políticas de firewall.

  3. En la página Describir la política de firewall, elija Crear política de firewall.

  4. En Nombre, introduzca el nombre que desea utilizar para la política de firewall. Utilizará el nombre para identificar la política cuando la asocie al firewall más adelante en este patrón. No se puede cambiar el nombre de una política de firewall después de crearla.

  5. Elija Siguiente.

  6. En la página Añadir grupos de reglas, en la sección Grupos de reglas sin estado, elija Añadir grupos de reglas sin estado.

  7. En el cuadro de diálogo Añadir desde grupos de reglas existentes, active la casilla de verificación del grupo de reglas sin estado que creó anteriormente. Seleccione Añadir grupos de reglas. Nota: En la parte inferior de la página, el contador de capacidad de la política de firewall muestra la capacidad consumida al añadir este grupo de reglas junto a la capacidad máxima permitida para una política de firewall.

  8. Establece la acción predeterminada sin estado en Reenviar a reglas con estado.

  9. En la sección Grupo de reglas con estado, elija Añadir grupos de reglas con estado y, a continuación, active la casilla de verificación del grupo de reglas con estado que creó anteriormente. Seleccione Añadir grupos de reglas.

  10. Elija Siguiente para recorrer el resto del asistente de configuración y, a continuación, elija Crear política de firewall.

AWS DevOps

Actualizar las tablas de enrutamiento de la VPC.

Tablas de enrutamiento de la VPC de inspección

  1. En la tabla de enrutamiento de subred ANF (Inspection-ANFRT), añada 0.0.0/0 al ID de Transit Gateway.

  2. En la tabla de enrutamiento de subred de Transit Gateway (Inspection-TGWRT), añada 0.0.0/0 al EgressVPC.

Tabla de enrutamiento de SpokeVPCA

En la tabla de enrutamiento privada, añada 0.0.0.0/0 al ID de Transit Gateway.

Tabla de enrutamiento de VPCB radial

En la tabla de enrutamiento privada, añada 0.0.0.0/0 al ID de Transit Gateway.

Tablas de enrutamiento de la VPC de egreso

En la tabla de enrutamiento pública de egreso, añada el bloque CIDR SpokeVPCA y SpokeVPCB al ID de Transit Gateway. Repita el mismo paso para la subred privada.

AWS DevOps
TareaDescripciónHabilidades requeridas

Actualice la configuración de registro del firewall.

  1. Inicie sesión en la consola de administración de AWS y abra la consola de Amazon VPC.

  2. En el panel de navegación, en Firewall de red, elija Firewalls.

  3. En la página Firewalls, elija el nombre del firewall que desea editar.

  4. Seleccione la pestaña de detalles de Firewall. En la sección Registro, elija Editar.

  5. Ajuste las selecciones Tipos de registro según sea necesario. Puede configurar el registro para los registros de alertas y flujos.

    • Alerta: envía registros del tráfico que coincide con cualquier regla de estado en la que la acción esté configurada como Alerta o Cancelación. Para obtener más información sobre las reglas con estado y los grupos de regla, consulte Grupos de regla en AWS Network Firewall.

    • Flujo: envía registros de todo el tráfico de red que el motor sin estado reenvía al motor de reglas con estado.

  6. Para cada tipo de registro seleccionado, elija el tipo de destino y, a continuación, proporcione la información del destino del registro. Para obtener más información, consulte los destinos de registro de AWS Network Firewall en la documentación de Network Firewall.

  7. Seleccione Guardar.

AWS DevOps
TareaDescripciónHabilidades requeridas

Lance una instancia EC2 para probar la configuración.

Lance dos instancias de Amazon Elastic Compute Cloud (Amazon EC2) en la VPC radial: una para Jumpbox y otra para la conectividad de prueba.

AWS DevOps

Compruebe las métricas.

Las métricas se agrupan en primer lugar por el espacio de nombres de servicio y, a continuación, por las diversas combinaciones de dimensiones dentro de cada espacio de nombres. El espacio de CloudWatch nombres de Network Firewall es. AWS/NetworkFirewall

  1. Inicie sesión en la consola de administración de AWS y abra la CloudWatch consola.

  2. En el panel de navegación, seleccione Métricas.

  3. En la pestaña Todas las métricas, elija la región y, a continuación, AWS/ NetworkFirewall.

AWS DevOps

Recursos relacionados