Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Déployez un pare-feu à l'aide d'AWS Network Firewall et d'AWS Transit Gateway
Créée par Shrikant Patil (AWS)
Référentiel de code : aws-network-firewall-deployment - with-transit-gateway | Environnement : PoC ou pilote | Technologies : mise en réseau DevOps ; sécurité, identité, conformité |
Services AWS : AWS Network Firewall ; AWS Transit Gateway ; Amazon VPC ; Amazon CloudWatch |
Récapitulatif
Ce modèle vous montre comment déployer un pare-feu à l'aide d'AWS Network Firewall et d'AWS Transit Gateway. Les ressources du Network Firewall sont déployées à l'aide d'un CloudFormation modèle AWS. Network Firewall s'adapte automatiquement à votre trafic réseau et peut prendre en charge des centaines de milliers de connexions, de sorte que vous n'avez pas à vous soucier de créer et de maintenir votre propre infrastructure de sécurité réseau. Une passerelle de transit est un hub de transit de réseau que vous pouvez utiliser pour relier vos VPC (Virtual Private Cloud) et vos réseaux sur site.
Dans ce modèle, vous apprenez également à inclure un VPC d'inspection dans votre architecture réseau. Enfin, ce modèle explique comment utiliser Amazon CloudWatch pour surveiller l'activité en temps réel de votre pare-feu.
Conseil : il est recommandé d'éviter d'utiliser un sous-réseau Network Firewall pour déployer d'autres services AWS. Cela est dû au fait que Network Firewall ne peut pas inspecter le trafic provenant de sources ou de destinations au sein du sous-réseau d'un pare-feu.
Conditions préalables et limitations
Prérequis
Limites
Il se peut que vous rencontriez des problèmes avec le filtrage des domaines et qu'un autre type de configuration soit nécessaire. Pour plus d'informations, consultez les groupes de règles de liste de domaines Stateful dans AWS Network Firewall dans la documentation Network Firewall.
Architecture
Pile technologique
Amazon CloudWatch Logs
Amazon VPC
AWS Network Firewall
AWS Transit Gateway
Architecture cible
Le schéma suivant montre comment utiliser Network Firewall et Transit Gateway pour inspecter votre trafic :
L'architecture inclut les composants suivants :
Votre application est hébergée dans les VPC à deux rayons. Les VPC sont surveillés par Network Firewall.
Le VPC de sortie a un accès direct à la passerelle Internet mais n'est pas protégé par Network Firewall.
Le VPC d'inspection est l'endroit où Network Firewall est déployé.
Automatisation et mise à l'échelle
Vous pouvez l'utiliser CloudFormationpour créer ce modèle en utilisant l'infrastructure comme code.
Services AWS
Amazon CloudWatch Logs vous aide à centraliser les journaux de tous vos systèmes, applications et services AWS afin que vous puissiez les surveiller et les archiver en toute sécurité.
Amazon Virtual Private Cloud (Amazon VPC) vous aide à lancer des ressources AWS dans un réseau virtuel que vous avez défini. Ce réseau virtuel ressemble à un réseau traditionnel que vous exploiteriez dans votre propre centre de données, avec les avantages liés à l'utilisation de l'infrastructure évolutive d'AWS.
AWS Network Firewall est un pare-feu réseau dynamique et géré, ainsi qu'un service de détection et de prévention des intrusions pour les VPC dans le cloud AWS.
AWS Transit Gateway est un hub central qui connecte les VPC et les réseaux sur site.
Code
Le code de ce modèle est disponible dans le référentiel de déploiement d' GitHub AWS Network Firewall avec Transit Gateway. Vous pouvez utiliser le CloudFormation modèle de ce référentiel pour déployer un VPC d'inspection unique qui utilise Network Firewall.
Épopées
| Tâche | Description | Compétences requises |
|---|
Préparez et déployez le CloudFormation modèle. | Téléchargez le cloudformation/aws_nw_fw.yml modèle depuis le GitHub référentiel. Mettez à jour le modèle avec vos valeurs. Déployez le modèle.
| AWS DevOps |
| Tâche | Description | Compétences requises |
|---|
Créez une passerelle de transit. | Connectez-vous à l'AWS Management Console et ouvrez la console Amazon VPC. Dans le volet de navigation, choisissez Transit gateways. Choisissez Create transit gateway (Créer une passerelle de transit). Dans le champ Name tag, entrez le nom de la passerelle de transit. Dans Description, entrez une description pour la passerelle de transit. Pour le numéro de système autonome (ASN) côté Amazon, laissez la valeur ASN par défaut. Sélectionnez l'option de support DNS. Sélectionnez l'option de support VPN ECMP. Sélectionnez l'option d'association de table de routage par défaut. Cette option associe automatiquement les pièces jointes de la passerelle de transit à la table de routage par défaut de la passerelle de transit. Sélectionnez l'option de propagation de la table de routage par défaut. Cette option propage automatiquement les pièces jointes de la passerelle de transit vers la table de routage par défaut de la passerelle de transit. Choisissez Create transit gateway (Créer une passerelle de transit).
| AWS DevOps |
Créez des pièces jointes pour les passerelles de transit. | Créez une pièce jointe à une passerelle de transit pour les éléments suivants : Une pièce jointe d'inspection dans le VPC d'inspection et le sous-réseau Transit Gateway Une pièce jointe SpokeVPCA dans le VPCA en étoile et le sous-réseau privé Une pièce jointe SpokeVPCB dans le VPCB en étoile et le sous-réseau privé Une pièce jointe de sortie dans le VPC de sortie et le sous-réseau privé
| AWS DevOps |
Créez une table de routage pour passerelle de transit. | Créez une table de routage de passerelle de transit pour le VPC Spoke. Cette table de routage doit être associée à tous les VPC autres que le VPC d'inspection. Créez une table de routage de passerelle de transit pour le pare-feu. Cette table de routage doit être associée au VPC d'inspection uniquement. Ajoutez un itinéraire à la table de routage de la passerelle de transit pour le pare-feu : Pour0.0.0/0, utilisez la pièce jointe EgressVPC. Pour le bloc d'adresse CIDR SpokeVPCA, utilisez la pièce jointe SpokeVPC1. Pour le bloc CIDR SpokeVPCB, utilisez la pièce jointe SpokeVPC2.
Ajoutez un itinéraire à la table de routage de la passerelle de transit pour le VPC Spoke. Pour0.0.0/0, utilisez l'accessoire VPC d'inspection.
| AWS DevOps |
| Tâche | Description | Compétences requises |
|---|
Créez un pare-feu dans le VPC d'inspection. | Connectez-vous à l'AWS Management Console et ouvrez la console Amazon VPC. Dans le volet de navigation, sous Network Firewall, sélectionnez Firewalls. Choisissez Créer un pare-feu. Dans Nom, entrez le nom que vous souhaitez utiliser pour identifier ce pare-feu. Vous ne pouvez pas modifier le nom d'un pare-feu après l'avoir créé. Pour le VPC, sélectionnez votre VPC d'inspection. Pour Zone de disponibilité et sous-réseau, sélectionnez la zone et le sous-réseau de pare-feu que vous avez identifiés. Dans la section Stratégie de pare-feu associée, choisissez Associer une politique de pare-feu existante, puis sélectionnez la stratégie de pare-feu que vous avez créée précédemment. Choisissez Créer un pare-feu.
| AWS DevOps |
Créez une politique de pare-feu. | Connectez-vous à l'AWS Management Console et ouvrez la console Amazon VPC. Dans le volet de navigation, sous Network Firewall, sélectionnez Firewall policies. Sur la page Décrire la politique de pare-feu, choisissez Créer une politique de pare-feu. Dans Nom, entrez le nom que vous souhaitez utiliser pour la politique de pare-feu. Vous utiliserez le nom pour identifier la politique lorsque vous l'associerez à votre pare-feu ultérieurement dans ce modèle. Vous ne pouvez pas modifier le nom d'une politique de pare-feu après l'avoir créée. Choisissez Suivant. Sur la page Ajouter des groupes de règles, dans la section Groupe de règles apatrides, choisissez Ajouter des groupes de règles apatrides. Dans la boîte de dialogue Ajouter à partir de groupes de règles existants, cochez la case correspondant au groupe de règles apatrides que vous avez créé précédemment. Choisissez Ajouter des groupes de règles. Remarque : Au bas de la page, le compteur de capacité de la politique de pare-feu indique la capacité consommée en ajoutant ce groupe de règles à côté de la capacité maximale autorisée pour une politique de pare-feu. Définissez l'action par défaut apatride sur Transférer vers les règles avec état. Dans la section Groupe de règles dynamiques, choisissez Ajouter des groupes de règles dynamiques, puis cochez la case correspondant au groupe de règles dynamiques que vous avez créé précédemment. Choisissez Ajouter des groupes de règles. Choisissez Suivant pour parcourir le reste de l'assistant de configuration, puis choisissez Créer une politique de pare-feu.
| AWS DevOps |
Mettez à jour vos tables de routage VPC. | Tables de routage VPC d'inspection Dans la table de routage du ANF sous-réseau (Inspection-ANFRT), ajoutez 0.0.0/0 l'ID Transit Gateway. Dans la table de routage du sous-réseau Transit Gateway (Inspection-TGWRT), ajoutez 0.0.0/0 au SegressVPC.
Table de routage SpokeVPCA Dans le tableau des itinéraires privés, ajoutez 0.0.0.0/0 à l'ID Transit Gateway. Table de routage VPCB à rayons Dans le tableau des itinéraires privés, ajoutez 0.0.0.0/0 à l'ID Transit Gateway. Tables de routage VPC de sortie Dans la table de routage publique de sortie, ajoutez le bloc d'adresse CIDR SpokeVPCA et Spoke VPCB à l'identifiant Transit Gateway. Répétez la même étape pour le sous-réseau privé. | AWS DevOps |
| Tâche | Description | Compétences requises |
|---|
Mettez à jour la configuration de journalisation du pare-feu. | Connectez-vous à l'AWS Management Console et ouvrez la console Amazon VPC. Dans le volet de navigation, sous Network Firewall, sélectionnez Firewalls. Sur la page Pare-feu, choisissez le nom du pare-feu que vous souhaitez modifier. Choisissez l'onglet Détails du pare-feu. Dans la section Journalisation, choisissez Modifier. Ajustez les sélections de type de journal selon vos besoins. Vous pouvez configurer la journalisation pour les journaux d'alertes et de flux. Alerte : envoie des journaux pour le trafic correspondant à n'importe quelle règle dynamique dont l'action est définie sur Alert ou Drop. Pour plus d'informations sur les règles dynamiques et les groupes de règles, consultez la section Groupes de règles dans AWS Network Firewall. Flow — Envoie des journaux pour tout le trafic réseau que le moteur sans état transmet au moteur de règles dynamiques.
Pour chaque type de journal sélectionné, choisissez le type de destination, puis fournissez les informations relatives à la destination de journalisation. Pour plus d'informations, consultez les destinations de journalisation d'AWS Network Firewall dans la documentation de Network Firewall. Choisissez Enregistrer.
| AWS DevOps |
| Tâche | Description | Compétences requises |
|---|
Lancez une instance EC2 pour tester la configuration. | Lancez deux instances Amazon Elastic Compute Cloud (Amazon EC2) dans le VPC en étoile : une pour Jumpbox et une pour tester la connectivité. | AWS DevOps |
Vérifiez les indicateurs. | Les métriques sont regroupées d'abord en fonction de l'espace de noms du service, puis en fonction des différentes combinaisons de dimensions au sein de chaque espace de noms. L' CloudWatch espace de noms de Network Firewall estAWS/NetworkFirewall. Connectez-vous à l'AWS Management Console et ouvrez la CloudWatch console. Dans le panneau de navigation, sélectionnez Métriques. Dans l'onglet Toutes les mesures, choisissez la région, puis choisissez AWS/ NetworkFirewall.
| AWS DevOps |
Ressources connexes
