稳健的网络设计与 AWS Control Tower

亚马逊 Web Services（贡献者）

2024 年 9 月（文件历史记录）

安全对任何组织都起着至关重要的作用。应用程序安全的关键因素之一是网络。网络漏洞可以为网络犯罪分子打开各种选择，使他们能够破坏应用程序并控制系统。本指南定义了使用 AWS Control Tower 该 AWS Organizations 级别设计网络时的一些最佳实践。网络设计的目标是为托管在上的应用程序提供更便捷的管理、更高的安全性和保护 AWS Cloud。为了帮助实现这一目标，网络设计包括检查、过滤和记录从单个集中式网络帐户进出互联网的 AWS流量。

所涵盖的方法使用具有三个虚拟私有云的集中式网络帐户（VPCs）。来自分支和互联网的入站 VPCs 和出站流量按 AWS WAF 和过滤 AWS Network Firewall。 AWS Transit Gateway 而且 VPC 终端节点可帮助路由流量。

先决条件

• 活跃的 AWS 账户

• AWS Control Tower 设置

• T ransit Gateway 知识

• 网络和网络安全知识

集中式网络账户

在管理组织的整个网络时，我们建议使用一个专门用于管理网络组件或服务的单独帐户。首先，网络团队要求创建一个用于管理网络服务的帐户（网络）。创建新账户后，记下账号。接下来，通过在 IPAM 中提供账户详细信息，将亚马逊虚拟私有云（亚马逊 VPC）IP 地址 AWS Control Tower 管理器 (IPAM) 的控制权从管理账户更改为网络账户。

新创建的账户将是您的集中式网络账户，它将管理以下网络服务：

• IPAM

• VPC 配置

• 网络访问控制列表 (ACL)

• 集中式网络防火墙

• AWS Transit Gateway

• VPC 终端节点配置

• 集中式 DNS 管理

• 集中入站流量

• AWS WAF