Wichtig: Diese Lösung erfordert die Verwendung von AWS CodeCommit, das für Neukunden nicht mehr verfügbar ist. Bestehende Kunden von AWS CodeCommit können diese AWS-Lösung weiterhin wie gewohnt verwenden und bereitstellen.
Übersicht
Die zentralisierte Netzwerkprüfung in AWS konfiguriert die AWS-Ressourcen, die zum Filtern des Netzwerkdatenverkehrs erforderlich sind. Diese Lösung spart Ihnen Zeit, indem Sie den Prozess der Bereitstellung einer zentralen AWS Network Firewall automatisieren, um den Datenverkehr zwischen Ihren Amazon Virtual Private Clouds (Amazon VPCs) zu überprüfen.
Vorteile
Mit dieser Lösung können Sie Regelgruppen und Firewall-Richtlinien im Konfigurationspaket im AWS-CodeCommit-Repository ändern. Dadurch wird automatisch die AWS CodePipeline aufgerufen, um die Validierung und Bereitstellung auszuführen.
Mit dieser Lösung können Sie Hunderte oder Tausende von Amazon VPCs und Konten an einem Ort überprüfen. Sie können Ihre AWS Network Firewall, Firewall-Richtlinien und Regelgruppen auch zentral konfigurieren und verwalten.
Mit dieser Lösung können Sie zusammenarbeiten und die Änderungen an der AWS-Network-Firewall-Konfiguration mithilfe des GitOps-Workflow verwalten.
Technische Details
Sie können diese Architektur mit dem Implementierungsleitfaden und der dazugehörigen Vorlage für AWS CloudFormation automatisch bereitstellen.
Schritt 1
Die AWS-CloudFormation-Vorlage stellt eine Kontroll-VPC mit insgesamt vier Subnetzen bereit. Zwei der Teilnetze werden verwendet, um VPC Transit Gateway-Anhänge zu erstellen und die anderen beiden Teilnetze werden verwendet, um AWS-Network-Firewall-Endpunkte zu erstellen.
Schritt 2
Die CloudFormation-Vorlage erstellt ein neues AWS-CodeCommit-Repository und eine Netzwerk-Firewall-Konfiguration, die standardmäßig den gesamten Netzwerkverkehr zulässt. Diese Vorlage enthält auch eine Reihe von Beispielen, mit denen Sie neue Regelgruppen erstellen können.
Schritt 3
Die Änderung des Konfigurationspakets im CodeCommit-Repository ruft die AWS CodePipeline auf, um die Validierungs- und Bereitstellungsphasen durchzuführen.
Schritt 4
Die Lösung erstellt Amazon-VPC-Routentabellen für jede Availability Zone mit einem Standardroutenziel. Eine gemeinsam genutzte Routentabelle mit Firewall-Subnetzen wird ebenfalls mit der Transit-Gateway-ID als Standardroutenziel erstellt.
Schritt 5
Diese Lösung erstellt auch zwei AWS-Key Management Service-Verschlüsselungsschlüssel (AWS KMS). Einer der Schlüssel wird zum Verschlüsseln von Objekten im Amazon-Simple-Storage Service-Artefakt (Amazon S3), in Quellcode-Buckets und in AWS-CodeBuild-Projekten verwendet. Der zweite Schlüssel wird zum Verschlüsseln der Network-Firewall-Protokollziele verwendet.
Schritt 6
AWS Identity and Access Management (IAM)-Rollen werden erstellt, um CodePipeline- und CodeBuild-Phasen Berechtigungen zu erteilen, um auf S3-Buckets zuzugreifen und Network-Firewall-Ressourcen zu verwalten.
- Datum der Veröffentlichung