本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
稳健的网络设计与 AWS Control Tower
亚马逊 Web Services(贡献者)
2024 年 9 月(文件历史记录)
安全对任何组织都起着至关重要的作用。应用程序安全的关键因素之一是网络。网络漏洞可以为网络犯罪分子打开各种选择,使他们能够破坏应用程序并控制系统。本指南定义了使用 AWS Control Tower 该 AWS Organizations 级别设计网络时的一些最佳实践。网络设计的目标是为托管在上的应用程序提供更便捷的管理、更高的安全性和保护 AWS Cloud。为了帮助实现这一目标,网络设计包括检查、过滤和记录从单个集中式网络帐户进出互联网的 AWS流量。
所涵盖的方法使用具有三个虚拟私有云的集中式网络帐户(VPCs)。来自分支和互联网的入站 VPCs 和出站流量按 AWS WAF 和过滤 AWS Network Firewall。 AWS Transit Gateway 而且 VPC 终端节点可帮助路由流量。
先决条件
-
活跃的 AWS 账户
-
T ransit Gateway 知识
-
网络和网络安全知识
集中式网络账户
在管理组织的整个网络时,我们建议使用一个专门用于管理网络组件或服务的单独帐户。首先,网络团队要求创建一个用于管理网络服务的帐户(网络)。创建新账户后,记下账号。接下来,通过在 IPAM 中提供账户详细信息,将亚马逊虚拟私有云(亚马逊 VPC)IP 地址 AWS Control Tower 管理器 (IPAM) 的控制权从管理账户更改为网络账户。
新创建的账户将是您的集中式网络账户,它将管理以下网络服务:
-
IPAM
-
VPC 配置
-
网络访问控制列表 (ACL)
-
集中式网络防火墙
-
AWS Transit Gateway
-
VPC 终端节点配置
-
集中式 DNS 管理
-
集中入站流量
-
AWS WAF