本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在將主機移轉至 AWS 期間建立防火牆請求的核准程序
創建者:斯里坎斯朗格瓦哈拉 (AWS)
R 類型:重新主機 | 環境:生產 | 技術:遷移 |
資料來源:內部部署 | 目標:AWS 雲端 |
Summary
如果您想要使用 AWS 應用程式遷移服務或 AWS 上的雲端遷移工廠
此模式概述了在重新託管遷移到 AWS 雲端期間從 InfoSec 團隊取得防火牆請求核准的程序。您可以使用此程序來避免 InfoSec 小組拒絕您的防火牆要求,這可能會變得昂貴且耗時。防火牆申請程序在 AWS 遷移顧問和領導人之間有兩個審核和核准步驟,他們與您 InfoSec 和應用程式團隊合作開啟防火牆連接埠。
此模式假設您正在規劃與 AWS 顧問或組織的遷移專家進行重新託管遷移。如果您的組織沒有防火牆核准程序或防火牆要求全面核准表單,則可以使用此模式。如需有關此功能的詳細資訊,請參閱此模式的 < 限制 > 一節。如需應用程式移轉服務之網路需求的詳細資訊,請參閱應用程式移轉服務說明文件中的網路需求。
先決條件和限制
先決條件
與您組織的 AWS 顧問或遷移專家進行計劃的重新託管遷移
遷移堆疊所需的連接埠和 IP 資訊
現有和 future 的狀態體系結構圖
內部部署和目的地基礎結構、連接埠和 zone-to-zone 流量的防火牆資訊
防火牆要求檢閱檢查清單 (隨附)
根據您組織的需求設定的防火牆要求文件
防火牆審核者和核准者的連絡人清單,包括下列角色:
防火牆請求提交者 — AWS 遷移專家或顧問。防火牆要求提交者也可以是組織的移轉專家。
防火牆請求審核者 — 一般而言,這是 AWS 的單一聯絡窗口 (SPOC)。
防火牆請求核准者 — 專 InfoSec 案團隊成員。
限制
此病毒碼描述一般防火牆要求核准程序。個別組織的需求可能會有所不同。
請確定您已追蹤防火牆要求文件的變更。
下表顯示此模式的使用案例。
您的組織是否有現有的防火牆核准程序? | 您的組織是否有現有的防火牆要求表單? | 建議的動作 |
是 | 是 | 與 AWS 顧問或遷移專家協同合作,以實作您組織的程序。 |
否 | 是 | 使用此病毒碼的防火牆核准程序。請使用 AWS 顧問或組織的移轉專家來提交防火牆要求全面核准表單。 |
否 | 否 | 使用此病毒碼的防火牆核准程序。請使用 AWS 顧問或組織的移轉專家來提交防火牆要求全面核准表單。 |
架構
下圖顯示防火牆要求核准程序的步驟。
工具
您可以使用掃描器工具,如帕洛阿爾托網絡
史诗
任務 | 描述 | 所需技能 |
---|---|---|
分析連接埠和 IP 位址。 | 防火牆要求提交者會完成初始分析,以瞭解所需的防火牆連接埠和 IP 位址。完成此操作後,他們會要求您的 InfoSec 團隊打開所需的端口並映射 IP 地址。 | AWS 雲端工程師、移轉專家 |
任務 | 描述 | 所需技能 |
---|---|---|
驗證防火牆資訊。 | AWS 雲端工程師會安排與您的 InfoSec 團隊進行會議。在此會議期間,工程師會檢查並驗證防火牆要求資訊。 一般而言,防火牆要求提交者與防火牆要求者是相同的人員。如果觀察到或建議任何內容,則此驗證階段可以根據核准者給出的反饋進行迭代。 | AWS 雲端工程師、移轉專家 |
更新防火牆要求文件。 | 在 InfoSec 團隊分享他們的意見反應之後,就會編輯、儲存並重新上傳防火牆要求文件。此文件會在每次版序之後更新。 建議您將此文件儲存在版本控制的儲存資料夾中。這表示所有變更都會追蹤並正確套用。 | AWS 雲端工程師、移轉專家 |
任務 | 描述 | 所需技能 |
---|---|---|
提交防火牆要求。 | 防火牆請求核准者核准防火牆全面核准請求後,AWS 雲端工程師會提交防火牆要求。請求指定必須開啟的連接埠,以及映射和更新 AWS 帳戶所需的 IP 地址。 您可以在提交防火牆要求後提出建議或提供意見反應。我們建議您將此意見反應程序自動化,並透過定義的工作流程機制傳送任何編輯。 | AWS 雲端工程師、移轉專家 |
附件
若要存取與此文件相關聯的其他內容,請解壓縮下列檔案:attachment.zip