稳健的网络设计与 AWS Control Tower - AWS 规范性指导

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

稳健的网络设计与 AWS Control Tower

亚马逊 Web Services贡献者

2024 年 9 月文件历史记录

安全对任何组织都起着至关重要的作用。应用程序安全的关键因素之一是网络。网络漏洞可以为网络犯罪分子打开各种选择,使他们能够破坏应用程序并控制系统。本指南定义了使用 AWS Control Tower 该 AWS Organizations 级别设计网络时的一些最佳实践。网络设计的目标是为托管在上的应用程序提供更便捷的管理、更高的安全性和保护 AWS Cloud。为了帮助实现这一目标,网络设计包括检查、过滤和记录从单个集中式网络帐户进出互联网的 AWS流量。

所涵盖的方法使用具有三个虚拟私有云的集中式网络帐户(VPCs)。来自分支和互联网的入站 VPCs 和出站流量按 AWS WAF 和过滤 AWS Network Firewall。 AWS Transit Gateway 而且 VPC 终端节点可帮助路由流量。

先决条件

集中式网络账户

在管理组织的整个网络时,我们建议使用一个专门用于管理网络组件或服务的单独帐户。首先,网络团队要求创建一个用于管理网络服务的帐户(网络)。创建新账户后,记下账号。接下来,通过在 IPAM 中提供账户详细信息,将亚马逊虚拟私有云(亚马逊 VPC)IP 地址 AWS Control Tower 管理器 (IPAM) 的控制权从管理账户更改为网络账户。

新创建的账户将是您的集中式网络账户,它将管理以下网络服务:

  • IPAM

  • VPC 配置

  • 网络访问控制列表 (ACL)

  • 集中式网络防火墙

  • AWS Transit Gateway

  • VPC 终端节点配置

  • 集中式 DNS 管理

  • 集中入站流量

  • AWS WAF