本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在重新託管遷移至 期間建立防火牆請求的核准程序 AWS
由 Srikanth Rangavajhala 建立 (AWS)
R 類型:Rehost | 環境:生產 | 技術:遷移 |
來源:內部部署 | 目標:AWS雲端 |
Summary
如果您想要在 上使用 AWS Application Migration Service 或 Cloud Migration Factory 重新託管遷移至 Amazon Web Services (AWS) Cloud,其中一個先決條件是您必須保持TCP連接埠 443 和 1500 開啟。 AWS
此模式概述在重新託管遷移至 AWS Cloud 期間,從 InfoSec 團隊取得防火牆請求核准的程序。您可以使用此程序來避免 InfoSec 團隊拒絕您的防火牆請求,這可能變得昂貴且耗時。防火牆請求程序在AWS遷移顧問和領導之間有兩個檢閱和核准步驟,這些顧問和領導會與您的 InfoSec 和應用程式團隊合作以開啟防火牆連接埠。
此模式假設您正在計劃與 組織的AWS顧問或遷移專家進行重新託管遷移。如果您的組織沒有防火牆核准程序或防火牆請求空白核准表單,您可以使用此模式。如需詳細資訊,請參閱此模式的限制區段。如需 Application Migration Service 網路需求的詳細資訊,請參閱 Application Migration Service 文件中的網路需求。
先決條件和限制
先決條件
與AWS顧問或遷移專家從組織進行規劃的重新託管遷移
遷移堆疊所需的連接埠和 IP 資訊
現有和未來的狀態架構圖
內部部署和目的地基礎設施、連接埠和 zone-to-zone流量流程的防火牆資訊
防火牆請求檢閱檢查清單 (已附加)
防火牆請求文件,根據您的組織需求設定
防火牆檢閱者和核准者的聯絡人清單,包括下列角色:
防火牆請求提交者 – AWS遷移專家或顧問。防火牆請求提交者也可以是您組織的遷移專家。
防火牆請求檢閱者 – 通常,這是來自 的單一聯絡點 (SPOC)AWS。
防火牆請求核准者 – InfoSec 團隊成員。
限制
此模式描述一般防火牆請求核准程序。個別組織的需求可能有所不同。
請務必追蹤防火牆請求文件的變更。
下表顯示此模式的使用案例。
您的組織是否具有現有的防火牆核准程序? | 您的組織是否有現有的防火牆請求表單? | 建議的動作 |
是 | 是 | 與AWS顧問或遷移專家合作,以實作組織的程序。 |
否 | 是 | 使用此模式的防火牆核准程序。使用您組織的AWS顧問或遷移專家來提交防火牆請求總括核准表單。 |
否 | 否 | 使用此模式的防火牆核准程序。使用您組織的AWS顧問或遷移專家來提交防火牆請求總括核准表單。 |
架構
下圖顯示防火牆請求核准程序的步驟。
工具
您可以使用掃描器工具,例如 Palo Alto Networks
史詩
任務 | 描述 | 所需的技能 |
---|---|---|
分析連接埠和 IP 地址。 | 防火牆請求提交者完成初始分析,以瞭解所需的防火牆連接埠和 IP 地址。完成後,他們會請求 InfoSec 您的團隊開啟所需的連接埠並映射 IP 地址。 | AWS 雲端工程師、遷移專家 |
任務 | 描述 | 所需的技能 |
---|---|---|
驗證防火牆資訊。 | AWS 雲端工程師會安排與 InfoSec 團隊進行會議。在此會議期間,工程師會檢查並驗證防火牆請求資訊。 一般而言,防火牆請求提交者與防火牆請求者是同一個人。如果觀察到或建議任何項目,此驗證階段可能會根據核准者提供的意見回饋而變得反覆。 | AWS 雲端工程師、遷移專家 |
更新防火牆請求文件。 | InfoSec 團隊分享其意見回饋後,會編輯、儲存和重新上傳防火牆請求文件。本文件會在每次迭代後更新。 建議您將此文件存放在版本控制的儲存資料夾中。這表示會追蹤並正確套用所有變更。 | AWS 雲端工程師、遷移專家 |
任務 | 描述 | 所需的技能 |
---|---|---|
提交防火牆請求。 | 防火牆請求核准者核准防火牆空白核准請求後,AWSCloud 工程師會提交防火牆請求。請求會指定必須開啟的連接埠,以及映射和更新AWS帳戶所需的 IP 地址。 您可以在提交防火牆請求後提出建議或提供意見回饋。我們建議您自動化此意見回饋程序,並透過定義的工作流程機制傳送任何編輯。 | AWS 雲端工程師、遷移專家 |
附件
若要存取與本文件相關聯的其他內容,請解壓縮下列檔案: attachment.zip