強大的網路設計搭配 AWS Control Tower - AWS 方案指引

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

強大的網路設計搭配 AWS Control Tower

Amazon Web Services (貢獻者)

2024 年 9 月 (文件歷史記錄)

安全性對任何組織都扮演著關鍵角色。應用程式安全的關鍵因素之一是聯網。網路中的漏洞可以為網路罪犯開啟各種選項,以入侵應用程式並控制系統。本指南定義使用 在 AWS Organizations 層級 AWS Control Tower 設計網路時的一些最佳實務。網路設計的目標是為託管在 上的應用程式提供更輕鬆的管理、改善的安全性和保護 AWS 雲端。為了協助達成此目標,網路設計包括檢查、篩選和記錄傳入和傳出單一集中式網路帳戶的網際網路流量 AWS。

涵蓋的方法使用具有三個虛擬私有雲端 (VPCs) 的集中式網路帳戶。來自語音 VPCs 和網際網路的傳入和傳出流量會依 AWS WAF 和 進行篩選 AWS Network Firewall。 AWS Transit Gateway 而 VPC 端點可協助路由流量。

先決條件

集中式網路帳戶

管理組織的整個網路時,我們建議您擁有專門用於管理聯網元件或服務的獨立帳戶。首先,聯網團隊會請求建立帳戶 (網路) 來管理聯網服務。建立新帳戶後,請注意帳戶號碼。接著,在 IPAM 中提供帳戶詳細資訊,將 Amazon Virtual Private Cloud (Amazon VPC) IP Address Manager (IPAM) 控制項從 AWS Control Tower 管理帳戶變更為網路帳戶。

新建立的帳戶將是您集中式網路帳戶,其將管理下列網路服務:

  • IPAM

  • VPC 組態

  • 網路存取控制清單 (ACL)

  • 集中式網路防火牆

  • AWS Transit Gateway

  • VPC 端點組態

  • 集中式 DNS 管理

  • 集中傳入流量

  • AWS WAF