本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在重新托管迁移到的过程中,为防火墙请求创建批准流程 AWS
由 Srikanth Rangavajhala 创作 () AWS
摘要
如果您想使用AWS应用程序迁移服务或云迁移工厂重新托管迁移
此模式概述了在重新托管迁移到AWS云端期间获得 InfoSec 团队批准的防火墙请求的流程。您可以使用此流程来避免 InfoSec 团队拒绝您的防火墙请求,这可能会变得昂贵且耗时。防火墙请求流程有两个审查和批准步骤,由AWS迁移顾问和负责人与您 InfoSec 和应用程序团队合作打开防火墙端口。
此模式假设您正在与贵组织的AWS顾问或迁移专家一起计划重新托管迁移。如果您的组织没有防火墙审批流程或防火墙请求一揽子审批表单,则可以使用此模式。有关此内容的更多信息,请参阅此模式的限制部分。有关应用程序迁移服务的网络要求的更多信息,请参阅应用程序迁移服务文档中的网络要求。
先决条件和限制
先决条件
由贵组织的AWS顾问或迁移专家进行计划中的重新托管迁移
迁移堆栈所需端口和 IP 信息
现有和未来状态架构图
有关本地和目标基础架构、端口和流 zone-to-zone量的防火墙信息
防火墙请求审查清单(随附)
根据贵组织要求配置的防火墙请求文档
防火墙审阅者和审批者的联系人列表,包括以下角色:
防火墙请求提交者 — AWS 迁移专家或顾问。防火墙请求提交者也可以是您组织中的迁移专家。
防火墙请求审阅者 — 通常,这是来自AWS的单一联系人 (SPOC)。
防火墙请求批准者- InfoSec 团队成员。
限制
此模式描述了一个通用防火墙请求审批过程。各个组织的要求可能有所不同。
请确保跟踪对防火墙请求文档的更改。
下表显示了此模式的用例。
您的组织是否有现有的防火墙审批流程? | 您的组织是否有现有的防火墙请求表单? | 建议采取的措施 |
是 | Yes | 与AWS顾问或迁移专家合作,实施贵组织的流程。 |
否 | Yes | 使用此模式的防火墙审批流程。请贵组织的AWS顾问或迁移专家提交防火墙申请一揽子批准表。 |
否 | 否 | 使用此模式的防火墙审批流程。请贵组织的AWS顾问或迁移专家提交防火墙申请一揽子批准表。 |
架构
下图显示了防火墙请求审批过程的步骤。
工具
您可以使用诸如 Palo Alto Network
操作说明
| 任务 | 描述 | 所需技能 |
|---|---|---|
分析端口和 IP 地址。 | 防火墙请求提交者完成初步分析,以了解所需防火墙端口和 IP 地址。完成后,他们会要求您的 InfoSec 团队打开所需的端口并映射 IP 地址。 | AWS云工程师、迁移专家 |
| 任务 | 描述 | 所需技能 |
|---|---|---|
验证防火墙信息。 | AWS云工程师安排与您的 InfoSec 团队会面。在此会议期间,工程师将检查并验证防火墙请求信息。 通常情况下,防火墙请求提交者与防火墙请求者是同一个人。如果发现任何问题或提出任何建议,则此验证阶段可以根据审批者给出的反馈进行迭代。 | AWS云工程师、迁移专家 |
更新防火墙请求文档。 | InfoSec 团队分享反馈后,将编辑、保存并重新上传防火墙请求文档。本文档在每次迭代后都会更新。 我们建议您将此文档存储在受版本控制的存储文件夹中。这意味着所有更改都会被跟踪并正确应用。 | AWS云工程师、迁移专家 |
| 任务 | 描述 | 所需技能 |
|---|---|---|
提交防火墙请求。 | 防火墙请求批准者批准防火墙全面批准请求后,AWS云工程师将提交防火墙请求。该请求指定必须打开的端口以及映射和更新AWS账户所需的 IP 地址。 您可以在提交防火墙请求后提出建议或提供反馈。我们建议您自动执行此反馈流程,并通过定义的工作流机制发送任何编辑内容。 | AWS云工程师、迁移专家 |
附件
要访问与此文档相关联的其他内容,请解压以下文件:attachment.zip
