Importante: Esta solución requiere el uso de AWS CodeCommit, que ya no está disponible para los nuevos clientes. Los clientes actuales de AWS CodeCommit pueden seguir usando e implementando esta solución de AWS con normalidad.
Información general
La inspección de red centralizada en AWS configura los recursos de AWS necesarios para filtrar el tráfico de red. Con esta solución, ahorrará tiempo al automatizar el proceso para aprovisionar una instancia de AWS Network Firewall centralizada para inspeccionar el tráfico entre las instancias de Amazon Virtual Private Cloud (Amazon VPC).
Beneficios
Esta solución permite modificar grupos de reglas y políticas de firewall en el paquete de configuración en el repositorio de AWS CodeCommit. Esto invoca automáticamente AWS CodePipeline para ejecutar la validación e implementación.
Con esta solución, puede inspeccionar en un solo lugar cientos de miles de cuentas y VPC de Amazon. También puede configurar y administrar de forma centralizada AWS Network Firewall, las políticas de firewall y los grupos de reglas.
Esta solución permite colaborar y administrar los cambios en la configuración de AWS Network Firewall mediante el flujo de trabajo de GitOps.
Detalles técnicos
Puede implementar automáticamente esta arquitectura con la guía de implementación y la plantilla de AWS CloudFormation asociada.
Paso 1
La plantilla de AWS CloudFormation implementa una VPC de inspección con un total de cuatro subredes. Dos de las subredes se utilizan para crear conexiones de puerta de enlace de tránsito de VPC y las otras dos subredes se utilizan para crear puntos de conexión de AWS Network Firewall.
Paso 2
La plantilla de CloudFormation crea un nuevo repositorio de AWS CodeCommit y una configuración de firewall de red que permite todo el tráfico de red de forma predeterminada. Esta plantilla también incluye un conjunto de ejemplos para ayudar a crear nuevos grupos de reglas.
Paso 3
Modificar el paquete de configuración en el repositorio de CodeCommit invoca AWS CodePipeline para ejecutar las etapas de validación e implementación.
Paso 4
La solución crea tablas de enrutamiento de Amazon VPC para cada zona de disponibilidad con un destino de ruta predeterminado. También se crea una tabla de enrutamiento compartida con subredes de firewall con el ID de la puerta de enlace de tránsito como el destino de ruta predeterminado.
Paso 5
La solución también crea dos claves de cifrado de AWS Key Management Service (AWS KMS). Una de las claves se utiliza para cifrar objetos en el artefacto de Amazon Simple Storage Service (Amazon S3), los buckets del código fuente y los proyectos de AWS CodeBuild. La segunda clave se utiliza para cifrar los destinos de registro de Network Firewall.
Paso 6
Se crean roles de AWS Identity and Access Management (IAM) para conceder permisos a las etapas de CodePipeline y CodeBuild para obtener acceso a los buckets de S3 y administrar los recursos de Network Firewall.
- Fecha de publicación