在 AWS 上部署 Sophos 網頁代理 UTM 和出埠閘道 - AWS Prescriptive Guidance

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 AWS 上部署 Sophos 網頁代理 UTM 和出埠閘道

由馬克·薩爾科維奇 (AWS) 創建

R 型態:N/A

來源:安全性

目標:在 AWS 上的網頁代理 UTM

建立者:APN 合作夥伴

環境:PoC 或試驗

技術:安全、身份、合規;基礎設施

Summary

Amazon Elastic Compute Cloud (Amazon EC2) 執行個體通常需要存取外部資源,例如軟體存放庫和 Web 服務。許多組織都需要限制網際網路連線至授權網站。網頁篩選 Proxy 通常用於強制執行網際網路存取的網頁原則。 

此模式使用 AWS Marketplace 中提供的 Sophos 統一威脅管理 (UTM) 虛擬設備,為 EC2 執行個體提供透明的輸出代理。替代 Web 代理解決方案可能會使用開源解決方案,例如 Squid 或 Apache 流量服務器,這些解決方案超出了這種模式的範圍。 

Sophos UTM 提供多種安全功能,包括防火牆、入侵防護系統 (IPS)、虛擬私人網路 (VPN) 和網頁過濾。Sophos 輸出閘道提供分散式、容錯架構,為輸出網頁流量提供可見性、原則強制執行和彈性擴充能力。 

此模式針對一個使用案例提供指導:允許從虛擬私有雲端 (VPC) 呼叫 AWS API。此模式不包含 Sophos UTM 的一般安裝和軟體設定任務。如需一般指導和最佳實務,請參閱AWS 管理指南上的 UTM。 

此樣式使用下列 Sophos 軟體: 

  • Sophos UTM 9 虛擬應用裝置 — Sophos UTM 是一個安全平台,可協助您保護 AWS 中的基礎設施。Sophos UTM 提供多種安全工具,如新一代防火牆(NGFW),Web 應用程序防火牆(WAF),入侵預防系統(IPS)和進階威脅防護(ATP)。

  • Sophos UTM 控制器 (女王) — 控制器是一個 UTM 執行個體,可為 UTM 工作者提供系統管理控制和組態管理。

  • Sophos UTM 工作者 — UTM 工作者從輸出閘道終止一般路由封裝 (GRE) 通道,並根據控制器內設定的原則,將流量代理至目的地。

  • AWS 上的 Sophos 出埠閘道 (OGW) — OGW 是位於可用區域內的執行個體,用戶端需要透過代理連線。

這種模式利用AWS Quick Start這是由 Sophos 與 AWS 合作開發的。索佛斯是一個AWS APN 合作夥伴。 

先決條件和限制

先決條件

  • 決定您要用於 Sophos UTM 的授權模式。可用選項包括每小時和使用自有授權模式 (BYOL)。如果您使用 BYOL 選項,則需要您的授權檔案。

  • 確認您擁有有效的 AWS 帳戶,且您的帳戶限制允許您佈建兩個 VPC 和一個彈性 IP 位址。

  • 識別您要用於 Proxy 和應用程式 VPC 和子網路的 CIDR 範圍。

  • 為了管理 Sophos UTM,您需要從瀏覽器訪問 TCP 端口 4444。

輸出代理解決方案考量

雖然輸出代理解決方案被廣泛使用,但在架構中實作代理之前,您應該考慮一些含義。Sophos 網頁過濾引擎在透明或標準模式下運作。無論部署模式為何,您的用戶端應用程式都必須支援伺服器名稱指示器 (SNI) 規格,才能安全地存取安全通訊端層/傳輸層安全性 (SSL/TLS) 端點,否則您需要使用 SSL 解密並散佈簽署憑證授權單位 (CA)給您的客戶,如Sophos 知識庫文章。此外,在標準模式下,您的客戶端應用程序需要「代理感知」,並通過 Sophos 出口網關明確指定請求。Sophos 提供其他選項來控制流量,例如能夠依來源或目的地 IP 略過篩選。若要進一步了解此事和其他考量,請參閱Sophos UTM 管理指南

Architecture

來源技術堆疊

  • 內部部署網頁代理 UTM

目標技術堆疊

  • 在 AWS 上的網頁代理 UTM 

來源與目標架構 

這是從內部部署資料中心主機遷移到 EC2 執行個體的簡單軟體。 下圖顯示 Sophos 輸出閘道如何使用 GRE 在 VPC 之間通道輸出網路流量。 

下圖提供 AWS 上架構的詳細視圖。 此模式使用高可用性架構,其中包括 AWS 上的 Sophos UTM 控制器、Sophos UTM 工作者和 Sophos 出埠閘道。總共部署七個執行個體,包括一個控制器、一個 Auto Scaling 群組中的兩個 Worker、兩個輸出閘道、一個堡壘主機,以及一個用戶端測試 EC2 執行個體。為了集中用戶端的 Proxy 服務,控制器和工作者會部署到專用的 VPC 中。 

此模式為代理客戶端利用一個額外的應用程序 VPC。AWS 上的出埠閘道也會部署到應用程式 VPC 中,以支援來自用戶端的連線。最後,堡壘主機和測試器實例部署到應用程序 VPC 中。您可以使用這些執行個體來測試並熟悉輸出 Web Proxy 功能。 

Tools

Epics

任務描述必要技能
啟動「快速入門」(如果符合您的需求)。

如需任何部署前指示,請參閱快速入門部署指南 (請參閱 < 參考及說明 > 一節),然後從提供的連結啟動 [快速入門]。

如果您有其他需求,請自訂並啟動「快速入門」。

從 GitHub 存放庫下載 AWS CloudFormation 範本 (請參閱「參考與說明」一節),修改它們以符合您的需求,並啟動自訂範本。

驗證部署。

請參閱 Quick Start 部署指南以取得任何部署後和測試說明。

Sophos

AWS Quick Start