最佳实践

我们建议以下将外围区域应用程序迁移到 AWS 云的最佳实践：

• 设计目标架构以支持第三方网络防火墙，前提是您可以通过网关负载均衡器将防火墙公开给应用程序 VPC 网络。

• 使用可信网络保护 AWS 应用程序的 VPC 和本地环境之间的流量。您可以使用 AWS Direct Connect 或 AWS Site-to-Site VPN 建立可信的网络。

• 使用目标架构向不受信任的网络公开 Web 应用程序，但要避免将其与 API 一起使用。

• 在测试阶段使用 VPC 流日志。这是因为可能有多个相互连接的组件需要正确的配置和验证。

• 在迁移的设计阶段，验证每个应用程序所需的入站和出站规则及其可用性。 AWS Network Firewall

• 如果需要外部服务， AWS 服务 例如亚马逊简单存储服务 (Amazon S3) 或亚马逊 DynamoDB，那么我们建议通过终端节点（在终端节点的子网内）将该服务暴露给应用程序 VPC。这样可以防止通过不受信任的网络进行通信。

• 通过提供对资源的访问权限（在本例中为 Amazon EC2）AWS Systems Manager Session Manager，以避免通过 SSH 直接访问资源。

• 应用程序负载均衡器使用 Network Firewall 为应用程序提供高可用性以及传入和传出流量的路由。无需为安全子网单独使用负载均衡器。

• 请记住，Application Load Balancer 是一个面向互联网的负载均衡器，尽管终端节点的子网无法直接访问互联网。在本指南的基于 Network Firewall 的外围区域架构部分中的图表上，路由表端点 A 和路由表端点 B 上没有互联网网关。子网受 Network Firewall 保护，并且可以通过 Network Firewall 访问互联网。

• 使用 Network Firewall 为未加密的 Web 流量提供入站和出站 Web 筛选。