Important : cette solution nécessite l'utilisation d'AWS CodeCommit, qui n'est plus disponible pour les nouveaux clients. Les clients existants d'AWS CodeCommit peuvent continuer à utiliser et à déployer cette solution AWS normalement.
Aperçu
L’inspection centralisée du réseau sur AWS configure les ressources AWS nécessaires pour filtrer le trafic réseau. Cette solution vous fait gagner du temps en automatisant le processus de mise en service d’un AWS Network Firewall centralisé pour inspecter le trafic entre vos Virtual Private Clouds Amazon (Amazon VPC).
Avantages
Cette solution vous permet de modifier les groupes de règles et les stratégies de pare-feu dans le package de configuration du référentiel AWS CodeCommit. Ceci invoque automatiquement AWS CodePipeline pour exécuter la validation et le déploiement.
Avec cette solution, vous pouvez inspecter des centaines ou des milliers de VPC et de comptes Amazon en un seul endroit. Vous pouvez également configurer et gérer de manière centrale votre AWS Network Firewall, vos stratégies de pare-feu et vos groupes de règles.
Cette solution vous aide à collaborer et à gérer les modifications apportées à la configuration d'AWS Network Firewall à l'aide du flux de travail GitOps.
Détails techniques
Vous pouvez déployer automatiquement cette architecture à l’aide du guide d’implémentation et du modèle AWS CloudFormation qui l’accompagne.
Étape 1
Le modèle AWS CloudFormation déploie un VPC d'inspection avec un total de quatre sous-réseaux. Deux des sous-réseaux sont utilisés pour créer des attachements de la passerelle de transit VPC et les deux autres sous-réseaux sont utilisés pour créer des points de terminaison AWS Network Firewall.
Étape 2
Le modèle CloudFormation crée un nouveau référentiel AWS CodeCommit et une configuration de pare-feu réseau qui autorise par défaut tout le trafic réseau. Ce modèle comprend également un ensemble d'exemples pour vous aider à créer de nouveaux groupes de règles.
Étape 3
La modification du package de configuration dans le référentiel CodeCommit appelle AWS CodePipeline pour exécuter les étapes de validation et de déploiement.
Étape 4
La solution crée des tables de routage Amazon VPC pour chaque zone de disponibilité avec une destination de routage par défaut. Une table de routage partagée avec des sous-réseaux de pare-feu est également créée avec l'identifiant de transit par passerelle comme destination de routage par défaut.
Étape 5
Cette solution crée également deux clés de chiffrement AWS Key Management Service (AWS KMS). L'une des clés est utilisée pour chiffrer les objets dans l'artefact Amazon Simple Storage Service (Amazon S3), les compartiments de code source et les projets AWS CodeBuild. La deuxième clé est utilisée pour chiffrer les destinations des journaux Network Firewall.
Étape 6
Les rôles AWS Identity and Access Management (IAM) sont créés pour accorder des autorisations aux étapes AWS CodePipeline et CodeBuild afin d’accéder aux compartiments S3 et de gérer les ressources Network Firewall.
- Date de publication