Práticas recomendadas - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Práticas recomendadas

Sugerimos seguir estas práticas recomendadas para migrar suas aplicações da zona perimetral para a Nuvem AWS:

  • Projete sua arquitetura de destino para oferecer suporte a firewalls de rede de terceiros, mas somente se for possível expor os firewalls à rede da VPC da aplicação por meio de um Gateway Load Balancer.

  • Use uma rede confiável para proteger o fluxo de tráfego entre a VPC do seu AWS aplicativo e seu ambiente local. É possível criar uma rede confiável usando o AWS Direct Connect ou o AWS Site-to-Site VPN.

  • Use sua arquitetura de destino para expor aplicações Web a redes não confiáveis, mas evite usá-la com uma API.

  • Use Logs de fluxo da VPC durante a fase de testes. Isso ocorre porque pode haver vários componentes interconectados que exigem a configuração e a verificação corretas.

  • Valide as regras de entrada e saída necessárias para cada aplicativo e sua disponibilidade AWS Network Firewall durante a fase de design da migração.

  • Se um serviço externo AWS service (Serviço da AWS) , como o Amazon Simple Storage Service (Amazon S3) ou o Amazon DynamoDB, for necessário, recomendamos expor esse serviço à VPC do aplicativo por meio de endpoints (dentro da sub-rede do endpoint). Isso impede a comunicação pela rede não confiável.

  • Forneça acesso aos recursos (Amazon EC2, neste caso) AWS Systems Manager Session Managerpara evitar o acesso direto por SSH aos recursos.

  • O Application Load Balancer fornece alta disponibilidade à aplicação e permite o roteamento do tráfego de entrada e saída usando o Network Firewall. Não é necessário um balanceador de carga separado para a sub-rede de segurança.

  • Lembre-se de que o Application Load Balancer é um balanceador de carga voltado para a Internet, mesmo que a sub-rede do endpoint não tenha acesso direto à Internet. Não há gateway da Internet no Endpoint da tabela de rotas A e no Endpoint da tabela de rotas B no diagrama da seção Arquitetura de zona perimetral baseada no Network Firewall deste guia. A sub-rede é protegida pelo Network Firewall e tem acesso à Internet por meio dele.

  • Use o Network Firewall para fornecer filtragem de entrada e saída da Web para tráfego da Web não criptografado.