Inspección centralizada de entradas con dispositivos de terceros - Creación de una infraestructura de VPC AWS redes múltiples escalable y segura
VentajasConsideraciones clave

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Inspección centralizada de entradas con dispositivos de terceros

En este patrón de diseño arquitectónico, se implementan dispositivos de firewall de terceros en Amazon EC2 en varias zonas de disponibilidad detrás de un Elastic Load Balancer (ELB), como un balanceador de carga de aplicaciones o redes, en una VPC de inspección independiente.

La VPC de inspección, junto con otras VPC Spoke, se conectan entre sí a través de una Transit Gateway como accesorios de VPC. Las aplicaciones de los Spoke VPC están gestionadas por un ELB interno, que puede ser ALB o NLB, según el tipo de aplicación. Los clientes a través de Internet se conectan al DNS del ELB externo en la VPC de inspección, que enruta el tráfico a uno de los dispositivos de firewall. El firewall inspecciona el tráfico y, a continuación, lo enruta a la VPC Spoke a través de Transit Gateway mediante el DNS del ELB interno, como se muestra en la siguiente figura. Para obtener más información sobre la inspección de seguridad entrante con dispositivos de terceros, consulte la entrada del blog Cómo integrar dispositivos de firewall de terceros en un entorno de AWS.

Un diagrama que muestra la inspección centralizada del tráfico de entrada mediante dispositivos de terceros y ELB

Inspección centralizada del tráfico de entrada mediante dispositivos de terceros y ELB

Ventajas

  • Esta arquitectura puede admitir cualquier tipo de aplicación de inspección y las funciones de inspección avanzada que ofrecen los dispositivos de firewall de terceros.

  • Este patrón admite el enrutamiento basado en DNS desde los dispositivos de firewall a las VPC con radios, lo que permite que las aplicaciones de las VPC Spoke se escalen de forma independiente detrás de un ELB.

  • Puede usar Auto Scaling con el ELB para escalar los dispositivos de firewall de la VPC de inspección.

Consideraciones clave

  • Para obtener una alta disponibilidad, debe implementar varios dispositivos de firewall en las zonas de disponibilidad.

  • El firewall debe configurarse con la NAT de origen y ejecutarla para mantener la simetría del flujo, lo que significa que la aplicación no podrá ver la dirección IP del cliente.

  • Considere la posibilidad de implementar Transit Gateway y Inspection VPC en la cuenta de servicios de red.

  • Coste adicional de licencias y soporte de firewalls de proveedores externos. Los cargos de Amazon EC2 dependen del tipo de instancia.