Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Inspeksi masuk terpusat
Aplikasi yang menghadap ke internet, menurut sifatnya, memiliki permukaan serangan yang lebih besar dan terpapar pada kategori ancaman yang tidak harus dihadapi sebagian besar jenis aplikasi lain. Memiliki perlindungan yang diperlukan dari serangan pada jenis aplikasi ini, dan meminimalkan area permukaan dampak, adalah bagian inti dari strategi keamanan apa pun.
Saat Anda menyebarkan aplikasi di Zona Pendaratan Anda, banyak aplikasi akan diakses oleh pengguna melalui internet publik (misalnya, melalui Jaringan Pengiriman Konten (CDN), atau melalui aplikasi web yang menghadap publik) melalui penyeimbang beban yang menghadap publik, gateway API atau langsung melalui gateway internet. Anda dapat mengamankan beban kerja dan aplikasi Anda dalam hal ini dengan menggunakan AWS Web Application Firewall (AWS WAF) untuk Inspeksi Aplikasi Masuk, atau Inbound Inspection menggunakan Gateway Load Balancer atau IDS/IPS . AWS Network Firewall
Saat Anda terus menerapkan aplikasi di Zona Pendaratan Anda, Anda mungkin memiliki persyaratan untuk memeriksa lalu lintas internet masuk. Anda dapat mencapai ini dengan berbagai cara, baik menggunakan arsitektur inspeksi terdistribusi, terpusat, atau gabungan menggunakan Gateway Load Balancer yang menjalankan peralatan firewall pihak ketiga Anda AWS Network Firewall atau dengan DPI IDS/IPS dan kemampuan lanjutan melalui penggunaan aturan Suricata open source. Bagian ini mencakup Gateway Load Balancer dan AWS Network Firewall dalam penyebaran terpusat, menggunakan AWS Transit Gateway bertindak sebagai hub pusat untuk merutekan lalu lintas.
## AWS WAF dan AWS Firewall Manager untuk memeriksa lalu lintas masuk dari internet
AWS WAF adalah firewall aplikasi web yang membantu melindungi aplikasi web Anda atau APIs terhadap eksploitasi web umum dan bot yang dapat memengaruhi ketersediaan, membahayakan keamanan, atau mengkonsumsi sumber daya yang berlebihan. AWS WAF memberi Anda kontrol atas bagaimana lalu lintas mencapai aplikasi Anda dengan memungkinkan Anda membuat aturan keamanan yang mengontrol lalu lintas bot dan memblokir pola serangan umum, seperti injeksi SQL atau skrip lintas situs (XSS). Anda juga dapat menyesuaikan aturan yang menyaring pola lalu lintas tertentu.
Anda dapat menerapkan AWS WAF di Amazon CloudFront sebagai bagian dari solusi CDN Anda, Application Load Balancer yang mengedepankan server web Anda, Amazon API Gateway untuk REST Anda, atau AWS AppSync untuk GraphQL Anda APIs. APIs
Setelah Anda menerapkan AWS WAF, Anda kemudian dapat membuat aturan filter lalu lintas Anda sendiri menggunakan pembuat aturan visual, kode di JSON, aturan terkelola yang dikelola oleh AWS, atau Anda dapat berlangganan aturan pihak ketiga dari. AWS Marketplace Aturan-aturan ini dapat menyaring lalu lintas yang tidak diinginkan dengan mengevaluasi lalu lintas terhadap pola yang ditentukan. Anda dapat menggunakan Amazon lebih lanjut CloudWatch untuk memantau metrik lalu lintas masuk dan pencatatan.
Untuk manajemen terpusat di semua akun dan aplikasi Anda AWS Organizations, Anda dapat menggunakannya AWS Firewall Manager. AWS Firewall Manager adalah layanan manajemen keamanan yang memungkinkan Anda untuk mengkonfigurasi dan mengelola aturan firewall secara terpusat. Saat aplikasi baru Anda dibuat, AWS Firewall Manager membuatnya mudah untuk membawa aplikasi dan sumber daya baru ke dalam kepatuhan dengan menegakkan seperangkat aturan keamanan umum.
Dengan menggunakan AWS Firewall Manager, Anda dapat dengan mudah meluncurkan AWS WAF aturan untuk Application Load Balancers, instans API Gateway, dan distribusi Amazon. CloudFront AWS Firewall Manager terintegrasi dengan Peraturan yang Dikelola AWS for AWS WAF, yang memberi Anda cara mudah untuk menerapkan AWS WAF aturan yang telah dikonfigurasi sebelumnya dan dikuratori pada aplikasi Anda. Untuk informasi lebih lanjut tentang pengelolaan AWS WAF secara terpusat AWS Firewall Manager, lihat [Kelola terpusat AWS WAF (API v2) dan sesuai skala Peraturan yang Dikelola AWS dengan](https://aws.amazon.com/blogs/security/centrally-manage-aws-waf-api-v2-and-aws-managed-rules-at-scale-with-firewall-manager/). AWS Firewall Manager
![\[Diagram yang menggambarkan inspeksi lalu lintas masuk terpusat menggunakan AWS WAF\]](http://docs.aws.amazon.com/id_id/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/inbound-traffic-inspection-with-waf.png)
Dalam arsitektur sebelumnya, aplikasi berjalan di instans Amazon EC2 di beberapa zona ketersediaan di subnet pribadi. Ada Application Load Balancer (ALB) yang menghadap publik yang diterapkan di depan instans Amazon EC2, load balancing permintaan di antara target yang berbeda. AWS WAF Ini terkait dengan ALB.
### Keuntungan
+ Dengan [AWS WAF Bot Control](https://aws.amazon.com/waf/features/bot-control/), Anda mendapatkan visibilitas dan kontrol atas lalu lintas bot umum dan meresap ke aplikasi Anda.
+ Dengan [Managed Rules for AWS WAF](https://aws.amazon.com/marketplace/solutions/security/waf-managed-rules), Anda dapat dengan cepat memulai dan melindungi aplikasi web Anda atau APIs terhadap ancaman umum. Anda dapat memilih dari banyak jenis aturan, seperti yang menangani masalah seperti Open Web Application Security Project (OWASP) Top 10 risiko keamanan, ancaman khusus untuk Content Management Systems (CMS) seperti WordPress atau Joomla, atau bahkan Common Vulnerabilities and Exposures (CVE) yang muncul. Aturan terkelola diperbarui secara otomatis saat masalah baru muncul, sehingga Anda dapat menghabiskan lebih banyak waktu untuk membangun aplikasi.
+ AWS WAF adalah layanan terkelola dan tidak ada alat yang diperlukan untuk inspeksi dalam arsitektur ini. Selain itu, ia menyediakan log hampir real-time melalui [Amazon Data Firehose](https://aws.amazon.com/kinesis/data-firehose/). AWS WAF memberikan visibilitas mendekati waktu nyata ke dalam web web Anda, yang dapat Anda gunakan untuk membuat aturan atau peringatan baru di Amazon. CloudWatch
### Pertimbangan utama
+ Arsitektur ini paling cocok untuk inspeksi header HTTP dan inspeksi terdistribusi, karena AWS WAF terintegrasi pada per-ALB, distribusi dan CloudFront API Gateway. AWS WAF tidak mencatat badan permintaan.
+ Lalu lintas ke set kedua ALB (jika ada) mungkin tidak diperiksa oleh AWS WAF contoh yang sama; karena permintaan baru akan dibuat ke set kedua ALB.
# Inspeksi masuk terpusat dengan peralatan pihak ketiga
Dalam pola desain arsitektur ini, Anda menggunakan peralatan firewall pihak ketiga di Amazon EC2 di beberapa zona ketersediaan di belakang Elastic Load Balancer (ELB) seperti Load Balancer dalam VPC Application/Network Inspeksi terpisah.
VPC Inspeksi bersama Spoke lainnya VPCs terhubung bersama melalui Transit Gateway sebagai lampiran VPC. Aplikasi di Spoke VPCs adalah frontend oleh ELB internal yang dapat berupa ALB atau NLB tergantung pada jenis aplikasi. Klien melalui internet terhubung ke DNS ELB eksternal di VPC inspeksi yang merutekan lalu lintas ke salah satu peralatan Firewall. Firewall memeriksa lalu lintas dan kemudian mengarahkan lalu lintas ke Spoke VPC melalui Transit Gateway menggunakan DNS ELB internal seperti yang ditunjukkan pada gambar berikut. Untuk informasi selengkapnya mengenai inspeksi keamanan masuk dengan peralatan pihak ketiga, lihat [Cara mengintegrasikan peralatan firewall pihak ketiga ke dalam postingan blog lingkungan AWS](https://aws.amazon.com/blogs/networking-and-content-delivery/how-to-integrate-third-party-firewall-appliances-into-an-aws-environment/).
![\[Diagram yang menggambarkan inspeksi lalu lintas masuk terpusat menggunakan peralatan pihak ketiga dan ELB\]](http://docs.aws.amazon.com/id_id/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/ingress-inspection-third-party.png)
## Keuntungan
+ Arsitektur ini dapat mendukung semua jenis aplikasi untuk inspeksi dan kemampuan inspeksi lanjutan yang ditawarkan melalui peralatan firewall pihak ketiga.
+ Pola ini mendukung perutean berbasis DNS dari peralatan firewall ke spoke VPCs, yang memungkinkan aplikasi di Spoke VPCs untuk menskalakan secara independen di belakang ELB.
+ Anda dapat menggunakan Auto Scaling dengan ELB untuk menskalakan peralatan firewall di VPC Inspeksi.
## Pertimbangan utama
+ Anda perlu menerapkan beberapa peralatan firewall di seluruh Availability Zone untuk ketersediaan tinggi.
+ Firewall perlu dikonfigurasi dengan dan melakukan Source NAT untuk mempertahankan simetri aliran, yang berarti alamat IP klien tidak akan terlihat oleh aplikasi.
+ Pertimbangkan untuk menggunakan Transit Gateway dan Inspeksi VPC di akun Layanan Jaringan.
+ licensing/support Biaya firewall vendor pihak ketiga tambahan. Biaya Amazon EC2 tergantung pada jenis instans.
# Memeriksa lalu lintas masuk dari internet menggunakan peralatan firewall dengan Gateway Load Balancer
Pelanggan menggunakan firewall generasi berikutnya (NGFW) dan sistem pencegahan intrusi (IPS) pihak ketiga sebagai bagian dari strategi pertahanan mereka secara mendalam. Secara tradisional ini sering merupakan perangkat keras atau software/virtual peralatan khusus. Anda dapat menggunakan Load Balancer Gateway untuk menskalakan peralatan virtual ini secara horizontal untuk memeriksa lalu lintas dari dan ke VPC Anda, seperti yang ditunjukkan pada gambar berikut.
![\[Diagram yang menggambarkan inspeksi lalu lintas masuk terpusat menggunakan peralatan firewall dengan Gateway Load Balancer\]](http://docs.aws.amazon.com/id_id/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/ingress-inspection-fa.png)
Dalam arsitektur sebelumnya, titik akhir Load Balancer Gateway diterapkan ke setiap Availability Zone dalam VPC edge yang terpisah. Firewall generasi berikutnya, sistem pencegahan intrusi, dll. Digunakan di belakang Load Balancer Gateway di VPC alat terpusat. VPC alat ini dapat berada di akun AWS yang sama dengan spoke VPCs atau akun AWS yang berbeda. Peralatan virtual dapat dikonfigurasi untuk menggunakan grup Auto Scaling dan terdaftar secara otomatis dengan Load Balancer Gateway, memungkinkan penskalaan otomatis lapisan keamanan.
Peralatan virtual ini dapat dikelola dengan mengakses antarmuka manajemen mereka melalui Internet Gateway (IGW) atau menggunakan pengaturan host benteng di VPC alat.
Menggunakan fitur perutean masuk VPC, tabel rute tepi diperbarui untuk merutekan lalu lintas masuk dari internet ke peralatan firewall di belakang Gateway Load Balancer. Lalu lintas yang diperiksa dirutekan melalui titik akhir Load Balancer Gateway untuk menargetkan instance VPC. Lihat posting blog [Introducing AWS Gateway Load Balancer: Pola arsitektur yang didukung](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-gateway-load-balancer-supported-architecture-patterns/) untuk detail tentang berbagai cara menggunakan Load Balancer Gateway.
# Menggunakan AWS Network Firewall untuk masuknya terpusat
Dalam arsitektur ini, lalu lintas masuk diperiksa oleh AWS Network Firewall sebelum mencapai sisa. VPCs Dalam pengaturan ini, lalu lintas dibagi di antara semua titik akhir firewall yang digunakan di VPC Edge. Anda menerapkan subnet publik antara titik akhir firewall dan subnet Transit Gateway. Anda dapat menggunakan ALB atau NLB, yang berisi target IP di spoke Anda VPCs saat menangani Auto Scaling untuk target di belakangnya.
![\[Diagram yang menggambarkan inspeksi lalu lintas masuk menggunakan AWS Network Firewall\]](http://docs.aws.amazon.com/id_id/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/ingress-inspection-using-aws-nf.png)
Untuk menyederhanakan penyebaran dan manajemen AWS Network Firewall dalam model ini, AWS Firewall Manager dapat digunakan. Firewall Manager memungkinkan Anda mengelola firewall yang berbeda secara terpusat dengan secara otomatis menerapkan perlindungan yang Anda buat di lokasi terpusat ke beberapa akun. Firewall Manager mendukung model penyebaran terdistribusi dan terpusat untuk Network Firewall. Posting blog [Cara menyebarkan AWS Network Firewall dengan menggunakan AWS Firewall Manager](https://aws.amazon.com/blogs/security/how-to-deploy-aws-network-firewall-by-using-aws-firewall-manager/) memberikan rincian lebih lanjut tentang model.
## Inspeksi Paket Dalam (DPI) dengan AWS Network Firewall
Network Firewall dapat melakukan inspeksi paket mendalam (DPI) pada lalu lintas masuk. Menggunakan sertifikat Transport Layer Security (TLS) yang disimpan di AWS Certificate Manager (ACM), Network Firewall dapat mendekripsi paket, melakukan DPI, dan mengenkripsi ulang paket. Ada beberapa pertimbangan untuk mengatur DPI dengan Network Firewall. Pertama, sertifikat TLS tepercaya harus disimpan di ACM. Kedua, aturan Network Firewall harus dikonfigurasi untuk mengirim paket dengan benar untuk dekripsi dan enkripsi ulang. Lihat posting blog [konfigurasi inspeksi TLS untuk lalu lintas terenkripsi dan AWS Network Firewall](https://aws.amazon.com/blogs/security/tls-inspection-configuration-for-encrypted-traffic-and-aws-network-firewall/) untuk lebih jelasnya.
## Pertimbangan utama untuk arsitektur AWS Network Firewall ingress terpusat
+ Elastic Load Balancing di Edge VPC hanya dapat memiliki alamat IP sebagai tipe target, bukan nama host. Pada gambar sebelumnya, targetnya adalah pribadi IPs dari Network Load Balancer di spoke. VPCs Menggunakan target IP di belakang ELB di tepi VPC mengakibatkan hilangnya Auto Scaling.
+ Pertimbangkan untuk menggunakan AWS Firewall Manager sebagai satu panel kaca untuk titik akhir firewall Anda.
+ Model penyebaran ini menggunakan inspeksi lalu lintas tepat saat memasuki VPC edge, sehingga berpotensi mengurangi biaya keseluruhan arsitektur inspeksi Anda.