本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在更换主机迁移到 AWS 期间为防火墙请求创建审批流程
由 Srikanth Rangavajhala (AWS) 编写
R 类型:更换主机 | 环境:生产 | 技术:迁移 |
来源:本地 | 目标:Amazon Web Services Cloud |
Summary
如果您想使用 AWS 应用程序迁移服务或 AWS上的云迁移工厂
此模式概述了在重新托管迁移到 AWS 云期间获得 InfoSec 团队批准的防火墙请求的流程。您可以使用此流程来避免 InfoSec 团队拒绝您的防火墙请求,这可能会变得昂贵且耗时。防火墙请求流程分为两个审查和批准步骤,由 AWS 迁移顾问和负责人与您 InfoSec 和应用程序团队合作打开防火墙端口。
此模式假定您正在与组织中的 AWS 顾问或迁移专家一起计划更换主机迁移。如果您的组织没有防火墙审批流程或防火墙请求一揽子审批表单,则可以使用此模式。有关此内容的更多信息,请参阅此模式的限制部分。有关应用程序迁移服务的网络要求的更多信息,请参阅应用程序迁移服务文档中的网络要求。
先决条件和限制
先决条件
由贵组织的 AWS 顾问或迁移专家进行计划中的更换主机迁移
迁移堆栈所需端口和 IP 信息
现有和未来状态架构图
有关本地和目标基础架构、端口和流 zone-to-zone 量的防火墙信息
防火墙请求审查清单(随附)
根据贵组织要求配置的防火墙请求文档
防火墙审阅者和审批者的联系人列表,包括以下角色:
防火墙请求提交者 - AWS 迁移专家或顾问。防火墙请求提交者也可以是您组织中的迁移专家。
防火墙请求审阅者 - 通常是 AWS 的单点联系人(SPOC)。
防火墙请求批准者- InfoSec 团队成员。
限制
此模式描述了一个通用防火墙请求审批过程。各个组织的要求可能有所不同。
请确保跟踪对防火墙请求文档的更改。
下表显示了此模式的用例。
您的组织是否有现有的防火墙审批流程? | 您的组织是否有现有的防火墙请求表单? | 建议采取的措施 |
是 | 是 | 与 AWS 顾问或迁移专家协作,实施组织的流程。 |
否 | 是 | 使用此模式的防火墙审批流程。请您组织的 AWS 顾问或迁移专家提交防火墙请求一揽子批准表。 |
否 | 否 | 使用此模式的防火墙审批流程。请您组织的 AWS 顾问或迁移专家提交防火墙请求一揽子批准表。 |
架构
下图显示了防火墙请求审批过程的步骤。
工具
您可以使用诸如 Palo Alto Network
操作说明
| 任务 | 描述 | 所需技能 |
|---|---|---|
分析端口和 IP 地址。 | 防火墙请求提交者完成初步分析,以了解所需防火墙端口和 IP 地址。完成后,他们会要求您的 InfoSec 团队打开所需的端口并映射 IP 地址。 | Amazon Web Services Cloud 工程师、迁移专家 |
| 任务 | 描述 | 所需技能 |
|---|---|---|
验证防火墙信息。 | AWS 云工程师会安排与您的 InfoSec 团队会面。在此会议期间,工程师将检查并验证防火墙请求信息。 通常情况下,防火墙请求提交者与防火墙请求者是同一个人。如果发现任何问题或提出任何建议,则此验证阶段可以根据审批者给出的反馈进行迭代。 | Amazon Web Services Cloud 工程师、迁移专家 |
更新防火墙请求文档。 | InfoSec 团队分享反馈后,将编辑、保存并重新上传防火墙请求文档。本文档在每次迭代后都会更新。 我们建议您将此文档存储在受版本控制的存储文件夹中。这意味着所有更改都会被跟踪并正确应用。 | Amazon Web Services Cloud 工程师、迁移专家 |
| 任务 | 描述 | 所需技能 |
|---|---|---|
提交防火墙请求。 | 在防火墙请求审批者批准防火墙一揽子批准请求后,Amazon Web Services Cloud 工程师将提交防火墙请求。该请求指定了必须打开的端口以及映射和更新 Amazon Web Services account 所需 IP 地址。 您可以在提交防火墙请求后提出建议或提供反馈。我们建议您自动执行此反馈流程,并通过定义的工作流机制发送任何编辑内容。 | Amazon Web Services Cloud 工程师、迁移专家 |
附件
要访问与此文档相关联的其他内容,请解压以下文件:attachment.zip
