Best practice - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice

Ti consigliamo le seguenti best practice per eseguire la migrazione delle applicazioni delle zone perimetrali al Cloud AWS.

  • Progetta l'architettura di destinazione per supportare i firewall di rete di terze parti solo se puoi esporre i firewall alla rete VPC dell'applicazione tramite un Gateway Load Balancer.

  • Utilizza una rete affidabile per proteggere il flusso di traffico tra il VPC dell' AWS applicazione e l'ambiente locale. Puoi creare una rete affidabile utilizzando AWS Direct Connect o AWS Site-to-Site VPN.

  • Utilizza l'architettura di destinazione per esporre le applicazioni Web a reti non affidabili, ma evita di utilizzarla con un'API.

  • Utilizza i Log di flusso VPC durante la fase di test. Questo perché possono esserci più componenti interconnessi che richiedono la configurazione e la verifica corrette.

  • Convalida le regole in entrata e in uscita richieste per ogni applicazione e la loro disponibilità AWS Network Firewall durante la fase di progettazione della migrazione.

  • Se è necessario un servizio esterno Servizio AWS come Amazon Simple Storage Service (Amazon S3) o Amazon DynamoDB, consigliamo di esporre tale servizio al VPC dell'applicazione tramite endpoint (all'interno della sottorete dell'endpoint). Ciò impedisce la comunicazione su una rete non affidabile.

  • Fornisci l'accesso alle risorse (Amazon EC2, in questo caso) tramite AWS Systems Manager Session Managerper evitare l'accesso diretto tramite SSH alle risorse.

  • L'Application Load Balancer fornisce un'elevata disponibilità all'applicazione e il routing del traffico in entrata e in uscita utilizzando Network Firewall. Non è richiesto alcun sistema di bilanciamento del carico separato per la sottorete di sicurezza.

  • Tieni presente che Application Load Balancer è un sistema di bilanciamento del carico connesso a Internet, anche se la sottorete dell'endpoint non dispone di accesso diretto a Internet. Non è presente alcun gateway Internet su Endpoint della tabella di routing A e Endpoint della tabella di routing B nel diagramma della sezione Architettura delle zone perimetrali basata su Network Firewall di questa guida. La sottorete è protetta da Network Firewall e dispone di accesso a Internet tramite Network Firewall.

  • Utilizza Network Firewall per fornire filtri Web in entrata e in uscita per il traffico Web non crittografato.