在轉寄主機遷移到 AWS 期間,為防火牆請求建立核准程序 - AWS Prescriptive Guidance

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在轉寄主機遷移到 AWS 期間,為防火牆請求建立核准程序

由斯里坎斯朗瓦哈拉 (AWS) 創作

R 類型:主體變更

環境:生產

Technologies:遷移

來源:在內部署

目標:AWS 雲端

Summary

如果您想要使用CloudEndure MigrationCloudEndure Migration 工廠 (CEMF)解決方案,其中一個先決條件是您必須保持 TCP 連接埠 443 和 1500 開啟狀態。一般而言,開啟這些防火牆連接埠需要您的資訊安全性 (InfoSec) 團隊的核准。

此模式概述了在轉寄主機遷移到 AWS 雲端期間,向 InfoSec 團隊取得防火牆請求核准的程序。您可以使用此程序來避免 InfoSec 團隊拒絕您的防火牆要求,這可能會變得昂貴且耗時。防火牆請求程序在 AWS 遷移顧問之間有兩個審查和核准步驟,以及帶領誰與您的 InfoSec 和應用程式團隊合作開啟防火牆連接埠。

此模式假設您正在規劃與組織的 AWS 顧問或遷移專家進行轉寄主機遷移。如果您的組織沒有防火牆核准程序或防火牆要求表單,就可以使用此病毒碼。如需此項目的詳細資訊,請參閱限制區段。

請注意:AWS Application Migration Service (MGN)是推出移轉遷移至 AWS 雲端的主要遷移服務。建議目前使用 CloudEndure Migration 或 AWS Server Migration Service (AWS SMS) 的客戶切換至 MGN 以便日後進行遷移。

先決條件和限制

先決條件

  • 此模式假設您正在規劃與組織中的 AWS 顧問或遷移專家進行轉寄主機遷移。

  • 移轉堆疊所需的連接埠和 IP 資訊。

  • 現有和未來的狀態架構圖。

  • 有關內部部署和目的地基礎結構、連接埠和區域對區域流量的防火牆資訊。

  • 防火牆要求檢閱檢查清單 (已附加)。

  • 防火牆要求文件,根據組織的需求進行設定。 

  • 防火牆審核者和核准者的連絡人清單。下表描述此程序中的角色。

防火牆要求提交者AWS migration specialist or consultant. The firewall request submitter can also be a migration specialist from your organization.
防火牆要求審核者Typically, this is the single point of contact (SPOC) from AWS.
防火牆要求核准人An InfoSec team member.

限制

  • 此病毒碼描述一般防火牆要求核准程序。個別組織的需求可能會有所不同。 

  • 請確定您追蹤防火牆要求文件的變更。

下表顯示此模式的使用案例。

您的組織是否有現有的防火牆核准程序?您的組織是否有現有的防火牆申請表? 建議動作
YesYesCollaborate with AWS consultants or your migration specialists to implement your organization’s process.
NoYesUse this pattern’s firewall approval process. Use either an AWS consultant or a migration specialist from your organization to submit the firewall request form.
NoNoUse this pattern’s firewall approval process. Use either an AWS consultant or a migration specialist from your organization to submit the firewall request form.

Architecture

下圖顯示防火牆要求核准程序的步驟。

Tools

您可以使用掃描器工具,例如Palo Alto Networks太陽風來分析和驗證防火牆和 IP 位址。

Epics

任務描述所需技能
分析連接埠和 IP 位址。

防火牆要求提交者完成初始分析,以瞭解所需的防火牆連接埠和 IP 位址。完成此操作後,他們會要求您的 InfoSec 團隊開啟必要的連接埠,並對應 IP 位址。

AWS CloudEndure 工程師、雲端專員、遷移專家
任務描述所需技能
驗證防火牆資訊。

AWS CloudEndure 工程師或雲端資訊安排會議與您的資訊安全團隊進行會議。在這次會議期間,他們會檢查並驗證防火牆要求資訊。

一般而言,防火牆要求提交者與防火牆要求者是同一個人。這個驗證階段可以根據核准者給出的反饋,如果觀察到或建議,變得反覆。

AWS CloudEndure 工程師、雲端專員、遷移專家
更新防火牆要求文件。

InfoSec 團隊分享他們的意見反應後,系統會編輯、儲存並重新上傳防火牆要求文件。此文件會在每次版序之後更新。

我們建議您將此文件儲存在版本控制的儲存資料夾中。這表示會追蹤並正確套用所有變更。

AWS CloudEndure 工程師、雲端專員、遷移專家
任務描述所需技能
提交防火牆要求。

防火牆請求核准人核准請求後,AWS 雲端工程師會提交防火牆請求。請求指定必須開啟的連接埠以及對應和更新 AWS 帳戶所需的 IP 位址。

您可以在提交防火牆要求之後提出建議或提供意見反應。我們建議您將此意見反應程序自動化,並透過定義的工作流程機制傳送任何編輯。 

AWS CloudEndure 工程師、雲端專員、遷移專家

Attachments

attachment.zip