Resumo Pré-requisitos e limitações Arquitetura Ferramentas Épicos Recursos relacionados

Implante um firewall usando o AWS Network Firewall e o AWS Transit Gateway

Criado por Shrikant Patil (AWS)

Repositório de código: aws-network-firewall-deployment - with-transit-gateway	Ambiente: PoC ou piloto	Tecnologias: DevOps; Rede; Segurança, identidade, conformidade
Serviços da AWS: Firewall de Rede da AWS; AWS Transit Gateway; Amazon VPC; Amazon CloudWatch

Resumo

Esse padrão mostra como implantar um firewall usando o AWS Network Firewall e o AWS Transit Gateway. Os recursos do Network Firewall são implantados usando um CloudFormation modelo da AWS. O Network Firewall se expande automaticamente com seu tráfego de rede e pode suportar centenas de milhares de conexões, para que você não precise se preocupar em criar e manter sua própria infraestrutura de segurança de rede. O gateway de trânsito é uma central de trânsito de rede que pode ser usada para interconectar as Virtual Private Clouds (VPCs) e as redes on-premises.

Nesse padrão, você também aprende a incluir uma VPC de inspeção em sua arquitetura de rede. Por fim, esse padrão explica como usar a Amazon CloudWatch para fornecer monitoramento de atividades em tempo real para seu firewall.

Dica: é uma prática recomendada evitar o uso de uma sub-rede do Network Firewall para implantar outros serviços da AWS. Isso ocorre porque o Network Firewall não pode inspecionar o tráfego de origens ou destinos na sub-rede de um firewall.

Pré-requisitos e limitações

Pré-requisitos

Uma conta AWS ativa
Permissões de políticas do perfil do AWS Identity and Access Management (IAM).
CloudFormation permissões de modelo

Limitações

Você pode ter problemas com a filtragem de domínio e um tipo diferente de configuração pode ser necessário. Para obter mais informações, consulte Grupos de regras de domínio com estado no AWS Network Firewall na documentação do Network Firewall.

Arquitetura

Pilha de tecnologia

CloudWatch Registros da Amazon
Amazon VPC
AWS Network Firewall
AWS Transit Gateway

Arquitetura de destino

O diagrama a seguir mostra como usar o Network Firewall e o Gateway de trânsito para inspecionar o tráfego:

O AWS Transit Gateway conecta a VPC de inspeção, a VPC de saída e as VPCs de dois raios.

A arquitetura inclui os seguintes componentes:

Seu aplicativo está hospedado em dois VPCs spoke. As VPCs são monitoradas pelo Network Firewall.
A VPC de saída tem acesso direto ao gateway da Internet, mas não é protegida pelo Network Firewall
A VPC de inspeção é onde o Network Firewall é implantado.

Automação e escala

Você pode usar CloudFormationpara criar esse padrão usando a infraestrutura como código.

Ferramentas

Serviços da AWS

O Amazon CloudWatch Logs ajuda você a centralizar os registros de todos os seus sistemas, aplicativos e serviços da AWS para que você possa monitorá-los e arquivá-los com segurança.
A Amazon Virtual Private Cloud (Amazon VPC) ajuda a iniciar recursos da AWS em uma rede virtual definida por você. Essa rede virtual é semelhante a uma rede tradicional que você operaria no próprio datacenter, com os benefícios de usar a infraestrutura escalável da AWS.
O AWS Network Firewall é um serviço gerenciado e de firewall de rede com estado para detecção e prevenção de intrusões para VPCs na Nuvem AWS.
O AWS Transit Gateway é um hub central que conecta VPCs e redes on-premises.

Código

O código desse padrão está disponível na implantação do Firewall de Rede da GitHub AWS com o repositório Transit Gateway. Você pode usar o CloudFormation modelo desse repositório para implantar uma única VPC de inspeção que usa o Network Firewall.

Épicos

Tarefa	Descrição	Habilidades necessárias
Prepare e implante o CloudFormation modelo.	Baixe o `cloudformation/aws_nw_fw.yml` modelo do GitHub repositório. Atualize o modelo com seus valores. Implante o modelo.	AWS DevOps

Tarefa	Descrição	Habilidades necessárias
Criar um gateway de trânsito.	Faça login no Console de Gerenciamento da AWS e abra o console do Amazon VPC. No painel de navegação, escolha Transit Gateways (Gateways de trânsito). Escolha Create transit gateway (Criar gateway de trânsito). Para Name tag (Tag de nome), insira um nome para o gateway de trânsito. Para Description (Descrição), insira uma descrição para o gateway de trânsito. Para Amazon side número de sistema autônomo (ASN), deixe o valor ASN padrão. Selecione a opção suporte de DNS. Selecione a opção suporte VPN ECMP. Selecione a opção Associação de tabela de rotas padrão. Essa opção associa automaticamente os anexos do gateway de trânsito à tabela de rotas padrão para o gateway de trânsito. Selecione a opção propagação da tabela de rotas padrão. Essa opção propaga automaticamente os anexos do gateway de trânsito à tabela de rotas padrão para o gateway de trânsito. Escolha Create transit gateway (Criar gateway de trânsito).	AWS DevOps
Criar anexo do gateway de trânsito.	Crie um anexo do gateway de trânsito para o seguinte: Um anexo de inspeção na sub-rede VPC e Transit Gateway de inspeção Um anexo SpokeVPCA VPCA spoke e na sub-rede privada Um anexo SpokeVPCB no VPCB spoke e na sub-rede privada Um anexo EgressVPC na VPC de saída e na sub-rede privada	AWS DevOps
Criar uma tabela de rotas do gateway de trânsito.	Criar uma tabela de rotas para o gateway de trânsito para a VPC spoke. Essa tabela de rotas deve estar associada a todas as VPCs, exceto a VPC de inspeção. Criar uma tabela de rotas para o gateway de trânsito para o firewall. Essa tabela de rotas deve estar associada somente à VPC de inspeção. Adicionar uma rota à tabela de rotas do gateway de trânsito para o firewall: Para`0.0.0/0`, use o anexo EgressVPC. Para o bloco SpokeVPCA CIDR, use o anexo SpokeVPC1 . Para o bloco SpokeVPCB CIDR, use o anexo SpokeVPC2 . Adicionar uma rota à tabela de rotas do gateway de trânsito para a VPC spoke. Para `0.0.0/0`, use o anexo VPC de inspeção.	AWS DevOps

Tarefa Descrição Habilidades necessárias

Tarefa	Descrição	Habilidades necessárias
Crie um firewall na VPC de inspeção.	Faça login no Console de Gerenciamento da AWS e abra o console do Amazon VPC. No painel de navegação, em Network Firewall, escolha Firewalls. Escolha Criar firewall. Em Name (Nome), insira o nome que deseja usar para identificar este firewall. Não é possível alterar o nome de um firewall depois de criá-lo. Para VPC, selecione sua VPC de inspeção. Em Zona de disponibilidade e Sub-rede, selecione a zona e a sub-rede do firewall que você identificou. Na seção Política de firewall associada, escolha Associar uma política de firewall existente e selecione a política de firewall que você criou anteriormente. Escolha Criar firewall.	AWS DevOps
Criar uma política de firewall.	Faça login no Console de Gerenciamento da AWS e abra o console do Amazon VPC. No painel de navegação, em Network Firewall, escolha Políticas de firewall. Na página Descrever a política de firewall, escolha Criar política de firewall. Em Nome, digite o nome que você deseja usar na política de firewall. Você usará o nome para identificar a política ao associar a política ao seu firewall posteriormente nesse padrão. Você não pode alterar o nome de uma política de firewall depois de criá-la. Escolha Próximo. Na página Adicionar grupos de regras, na seção Grupo de regras sem estado, escolha Adicionar grupos de regras sem estado. Na caixa de diálogo Adicionar de grupos de regras existentes, marque a caixa de seleção do grupo de regras sem estado que você criou anteriormente. Escolha Adicionar grupos de regras. Observação: na parte inferior da página, o contador de capacidade da política de firewall mostra a capacidade consumida ao adicionar esse grupo de regras ao lado da capacidade máxima permitida para uma política de firewall. Defina a ação padrão sem estado como Encaminhar para regras com estado. Na seção Grupo de regras com estado, escolha Adicionar grupos de regras com estado e, em seguida, marque a caixa de seleção do grupo de regras com estado que você criou anteriormente. Escolha Adicionar grupos de regras. Escolha Avançar para percorrer o restante do assistente de configuração e, em seguida, escolha Criar política de firewall.	AWS DevOps
Atualizar a tabela de rotas da VPC.	Inspeção: Tabelas de rotas da VPC Na tabela de rotas da sub-rede `ANF` (`Inspection-ANFRT`), adicione `0.0.0/0` ao ID do Transit Gateway. Na tabela de rotas de sub-rede do Transit Gateway (`Inspection-TGWRT`), adicione `0.0.0/0` ao EgressVPC. Tabela de rotas SpokeVPCA Na tabela de rotas privadas, adicione `0.0.0.0/0` à ID do Transit Gateway. Tabela de rotas Spoke VPCB Na tabela de rotas privadas, adicione `0.0.0.0/0` à ID do Transit Gateway. Tabelas de rotas da VPC de saída Na tabela de rotas públicas de saída, adicione o bloco CIDR SpokeVPCA e SpokeVPCBao ID do gateway de trânsito. Repita a mesma etapa para a sub-rede privada.	AWS DevOps

Crie um firewall na VPC de inspeção.

Faça login no Console de Gerenciamento da AWS e abra o console do Amazon VPC.
No painel de navegação, em Network Firewall, escolha Firewalls.
Escolha Criar firewall.
Em Name (Nome), insira o nome que deseja usar para identificar este firewall. Não é possível alterar o nome de um firewall depois de criá-lo.
Para VPC, selecione sua VPC de inspeção.
Em Zona de disponibilidade e Sub-rede, selecione a zona e a sub-rede do firewall que você identificou.
Na seção Política de firewall associada, escolha Associar uma política de firewall existente e selecione a política de firewall que você criou anteriormente.
Escolha Criar firewall.

AWS DevOps

Criar uma política de firewall.

Faça login no Console de Gerenciamento da AWS e abra o console do Amazon VPC.
No painel de navegação, em Network Firewall, escolha Políticas de firewall.
Na página Descrever a política de firewall, escolha Criar política de firewall.
Em Nome, digite o nome que você deseja usar na política de firewall. Você usará o nome para identificar a política ao associar a política ao seu firewall posteriormente nesse padrão. Você não pode alterar o nome de uma política de firewall depois de criá-la.
Escolha Próximo.
Na página Adicionar grupos de regras, na seção Grupo de regras sem estado, escolha Adicionar grupos de regras sem estado.
Na caixa de diálogo Adicionar de grupos de regras existentes, marque a caixa de seleção do grupo de regras sem estado que você criou anteriormente. Escolha Adicionar grupos de regras. Observação: na parte inferior da página, o contador de capacidade da política de firewall mostra a capacidade consumida ao adicionar esse grupo de regras ao lado da capacidade máxima permitida para uma política de firewall.
Defina a ação padrão sem estado como Encaminhar para regras com estado.
Na seção Grupo de regras com estado, escolha Adicionar grupos de regras com estado e, em seguida, marque a caixa de seleção do grupo de regras com estado que você criou anteriormente. Escolha Adicionar grupos de regras.
Escolha Avançar para percorrer o restante do assistente de configuração e, em seguida, escolha Criar política de firewall.

AWS DevOps

Atualizar a tabela de rotas da VPC.

Inspeção: Tabelas de rotas da VPC

Na tabela de rotas da sub-rede ANF (Inspection-ANFRT), adicione 0.0.0/0 ao ID do Transit Gateway.
Na tabela de rotas de sub-rede do Transit Gateway (Inspection-TGWRT), adicione 0.0.0/0 ao EgressVPC.

Tabela de rotas SpokeVPCA

Na tabela de rotas privadas, adicione 0.0.0.0/0 à ID do Transit Gateway.

Tabela de rotas Spoke VPCB

Na tabela de rotas privadas, adicione 0.0.0.0/0 à ID do Transit Gateway.

Tabelas de rotas da VPC de saída

Na tabela de rotas públicas de saída, adicione o bloco CIDR SpokeVPCA e SpokeVPCBao ID do gateway de trânsito. Repita a mesma etapa para a sub-rede privada.

AWS DevOps

Tarefa	Descrição	Habilidades necessárias
Atualize a configuração de registro do firewall.	Faça login no Console de Gerenciamento da AWS e abra o console do Amazon VPC. No painel de navegação, em Network Firewall, escolha Firewalls. Na página Firewalls, escolha o nome do firewall que você deseja editar. Escolha a guia Detalhes do firewall. Na seção Logs, selecione Edit (Editar). Ajuste as seleções do tipo de registro conforme necessário. Você pode configurar o registro para registros de alertas e fluxos. Alerta: envia registros de tráfego que correspondem a qualquer regra de estado em que a ação esteja definida como Alerta ou Descartar. Para obter mais informações sobre regras com estado e grupos de regras, consulte Grupos de regras no AWS Network Firewall. Fluxo: envia logs de todo o tráfego de rede que o mecanismo sem estado encaminha para o mecanismo de regras com estado. Para cada tipo de registro selecionado, escolha o tipo de destino e, em seguida, forneça as informações do destino de registro. Para obter mais informações, consulte os destinos de registro do AWS Network Firewall na documentação do Network Firewall. Escolha Salvar.	AWS DevOps

Tarefa	Descrição	Habilidades necessárias
Executar uma instância do EC2 para testar a configuração.	Inicie duas instâncias do Amazon Elastic Compute Cloud (Amazon EC2) na VPC spoke: uma para o Jumpbox e outra para testar a conectividade.	AWS DevOps
Verifique as métricas.	As métricas são agrupadas primeiro pelo namespace do serviço e, em seguida, por várias combinações de dimensão dentro de cada namespace. O CloudWatch namespace do Network Firewall é. `AWS/NetworkFirewall` Faça login no AWS Management Console e abra o CloudWatch console. No painel de navegação, selecione Métricas. Na guia Todas as métricas, escolha a Região e, em seguida, escolha AWS/ NetworkFirewall.	AWS DevOps

Recursos relacionados

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Implemente um pipeline de CI/CD em várias contas AWS