強大的網路設計搭配 AWS Control Tower

Amazon Web Services （貢獻者)

2024 年 9 月 (文件歷史記錄)

安全性對任何組織都扮演著關鍵角色。應用程式安全的關鍵因素之一是聯網。網路中的漏洞可以為網路罪犯開啟各種選項，以入侵應用程式並控制系統。本指南定義使用 在 AWS Organizations 層級 AWS Control Tower 設計網路時的一些最佳實務。網路設計的目標是為託管在 上的應用程式提供更輕鬆的管理、改善的安全性和保護 AWS 雲端。為了協助達成此目標，網路設計包括檢查、篩選和記錄傳入和傳出單一集中式網路帳戶的網際網路流量 AWS。

涵蓋的方法使用具有三個虛擬私有雲端 (VPCs) 的集中式網路帳戶。來自語音 VPCs 和網際網路的傳入和傳出流量會依 AWS WAF 和 進行篩選 AWS Network Firewall。 AWS Transit Gateway 而 VPC 端點可協助路由流量。

先決條件

• 作用中 AWS 帳戶

• AWS Control Tower 設定

• Transit Gateway 的知識

• 具備聯網和網路安全的知識

集中式網路帳戶

管理組織的整個網路時，我們建議您擁有專門用於管理聯網元件或服務的獨立帳戶。首先，聯網團隊會請求建立帳戶 （網路） 來管理聯網服務。建立新帳戶後，請注意帳戶號碼。接著，在 IPAM 中提供帳戶詳細資訊，將 Amazon Virtual Private Cloud (Amazon VPC) IP Address Manager (IPAM) 控制項從 AWS Control Tower 管理帳戶變更為網路帳戶。

新建立的帳戶將是您集中式網路帳戶，其將管理下列網路服務：

• IPAM

• VPC 組態

• 網路存取控制清單 (ACL)

• 集中式網路防火牆

• AWS Transit Gateway

• VPC 端點組態

• 集中式 DNS 管理

• 集中傳入流量

• AWS WAF