Importante: essa solução exige o uso do AWS CodeCommit, que não está mais disponível para novos clientes. Os clientes atuais do AWS CodeCommit podem continuar usando e implantando essa solução da AWS normalmente.
Visão geral
A inspeção de rede centralizada na AWS configura os recursos da AWS necessários para filtrar o tráfego de rede. Essa solução poupa tempo ao automatizar o processo de provisionamento de um AWS Network Firewall centralizado para inspecionar o tráfego entre as Amazon Virtual Private Clouds (Amazon VPCs).
Benefícios
Essa solução permite modificar grupos de regras e políticas de firewall no pacote de configuração no repositório do AWS CodeCommit. Isso chama automaticamente o AWS CodePipeline para executar a validação e a implantação.
Com essa solução, você pode inspecionar centenas ou milhares de Amazon VPCs e contas em um só lugar. Também pode configurar e gerenciar centralmente o AWS Network Firewall, políticas de firewall e grupos de regras.
Essa solução ajuda você a colaborar e gerenciar as alterações na configuração do AWS Network Firewall usando o fluxo de trabalho do GitOps.
Detalhes técnicos
É possível implantar automaticamente essa arquitetura ao usar o guia de implementação e o modelo do AWS CloudFormation que o acompanha.
Etapa 1
O modelo do AWS CloudFormation implanta uma VPC de inspeção com um total de quatro sub-redes. Duas das sub-redes são usadas para criar anexos do VPC Transit Gateway e as outras duas sub-redes são usadas para criar endpoints do AWS Network Firewall.
Etapa 2
O modelo do CloudFormation cria um novo repositório do AWS CodeCommit e uma configuração de firewall de rede que permite todo o tráfego de rede por padrão. Ele também inclui um conjunto de exemplos para ajudar você a criar novos grupos de regras.
Etapa 3
Modificar o pacote de configuração no repositório do CodeCommit invoca o AWS CodePipeline para executar os estágios de validação e implantação.
Etapa 4
A solução cria tabelas de rotas da Amazon VPC para cada zona de disponibilidade com um destino de rota padrão. Uma tabela de rotas compartilhadas com sub-redes de firewall também é criada com o ID de gateway de trânsito como destino de rota padrão.
Etapa 5
Esta solução também cria duas chaves de criptografia do AWS Key Management Service (AWS KMS). Uma delas é usada para criptografar objetos no artefato do Amazon Simple Storage Service (Amazon S3), buckets de código-fonte e projetos do AWS CodeBuild. A segunda chave é usada para criptografar os destinos de log do Network Firewall.
Etapa 6
Os perfis do AWS Identity and Access Management (IAM) são criados para conceder permissões aos estágios CodePipeline e CodeBuild para acessar buckets do S3 e gerenciar recursos do Network Firewall.
- Data de publicação