Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Ispezione centralizzata in entrata
Le applicazioni connesse a Internet, per loro natura, hanno una superficie di attacco più ampia e sono esposte a categorie di minacce che la maggior parte degli altri tipi di applicazioni non deve affrontare. Avere la protezione necessaria dagli attacchi contro questi tipi di applicazioni e ridurre al minimo la superficie di impatto sono elementi fondamentali di qualsiasi strategia di sicurezza.
Quando distribuisci le applicazioni nella tua Landing Zone, gli utenti accederanno a molte app tramite la rete Internet pubblica (ad esempio, tramite un Content Delivery Network (CDN) o un'applicazione Web rivolta al pubblico) tramite un sistema di bilanciamento del carico pubblico, un gateway API o direttamente tramite un gateway Internet. In questo caso puoi proteggere i tuoi carichi di lavoro e le tue applicazioni utilizzando AWS Web Application Firewall (AWS WAF) per Inbound Application Inspection o, in IDS/IPS alternativa, Inbound Inspection utilizzando Gateway Load Balancer o. AWS Network Firewall
Man mano che continui a distribuire applicazioni nella tua Landing Zone, potresti dover ispezionare il traffico Internet in entrata. È possibile raggiungere questo obiettivo in diversi modi, utilizzando architetture di ispezione distribuite, centralizzate o combinate utilizzando Gateway Load Balancer che esegue dispositivi firewall di terze parti o AWS Network Firewall con DPI e IDS/IPS funzionalità avanzate tramite l'uso di regole Suricata open source. Questa sezione tratta sia del Gateway Load Balancer che di una distribuzione centralizzata, che utilizza la AWS Transit Gateway funzione di hub centrale per il routing del traffico. AWS Network Firewall
## AWS WAF e AWS Firewall Manager per ispezionare il traffico in entrata da Internet
AWS WAF è un firewall per applicazioni Web che aiuta a proteggere le applicazioni Web o APIs da exploit e bot Web comuni che possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive. AWS WAF consente di controllare il modo in cui il traffico raggiunge le applicazioni, consentendovi di creare regole di sicurezza che controllano il traffico dei bot e bloccano i modelli di attacco più comuni, come l'iniezione SQL o il cross-site scripting (XSS). Puoi anche personalizzare le regole che filtrano modelli di traffico specifici.
Puoi implementarlo AWS WAF su Amazon CloudFront come parte della tua soluzione CDN, l'Application Load Balancer che fronteggia i tuoi server Web, Amazon API Gateway per il tuo REST o AWS AppSync per il tuo APIs GraphQL. APIs
Una volta implementata AWS WAF, puoi creare le tue regole di filtro del traffico utilizzando il generatore di regole visive, il codice in JSON, le regole gestite gestite da oppure puoi sottoscrivere le regole di AWS terze parti di. Marketplace AWS Queste regole possono filtrare il traffico indesiderato valutando il traffico rispetto ai modelli specificati. Puoi inoltre utilizzare Amazon CloudWatch per monitorare le metriche e la registrazione del traffico in entrata.
Per una gestione centralizzata di tutti i tuoi account e applicazioni AWS Organizations, puoi usare. AWS Firewall Manager AWS Firewall Manager è un servizio di gestione della sicurezza che consente di configurare e gestire centralmente le regole del firewall. Man mano che vengono create nuove applicazioni, AWS Firewall Manager è facile rendere conformi nuove applicazioni e risorse applicando un insieme comune di regole di sicurezza.
In questo modo AWS Firewall Manager, puoi implementare facilmente AWS WAF le regole per i tuoi Application Load Balancer, le istanze API Gateway e le distribuzioni Amazon. CloudFront AWS Firewall Manager si integra con Regole gestite da AWS for AWS WAF, che ti offre un modo semplice per distribuire regole preconfigurate e curate sulle tue applicazioni. AWS WAF Per ulteriori informazioni sulla gestione centralizzata AWS WAF con AWS Firewall Manager, consulta [Gestione centralizzata AWS WAF (API v2)](https://aws.amazon.com/blogs/security/centrally-manage-aws-waf-api-v2-and-aws-managed-rules-at-scale-with-firewall-manager/) e su larga scala con. Regole gestite da AWS AWS Firewall Manager
![\[Un diagramma che illustra l'ispezione centralizzata del traffico in entrata utilizzando AWS WAF\]](http://docs.aws.amazon.com/it_it/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/inbound-traffic-inspection-with-waf.png)
Nell'architettura precedente, le applicazioni vengono eseguite su istanze Amazon EC2 in più zone di disponibilità nelle sottoreti private. C'è un Application Load Balancer (ALB) rivolto al pubblico distribuito davanti alle istanze Amazon EC2, che bilancia il carico delle richieste tra diversi target. AWS WAF È associato all'ALB.
### Vantaggi
+ Con [AWS WAF Bot Control](https://aws.amazon.com/waf/features/bot-control/), ottieni visibilità e controllo sul traffico di bot comune e pervasivo verso le tue applicazioni.
+ Con [Managed Rules for AWS WAF](https://aws.amazon.com/marketplace/solutions/security/waf-managed-rules), puoi iniziare rapidamente e proteggere la tua applicazione web dalle APIs minacce più comuni. Puoi scegliere tra molti tipi di regole, come quelle che risolvono problemi come i 10 principali rischi per la sicurezza dell'Open Web Application Security Project (OWASP), le minacce specifiche per i sistemi di gestione dei contenuti (CMS) come Joomla WordPress o persino le emergenti Common Vulnerabilities and Exposures (CVE). Le regole gestite vengono aggiornate automaticamente man mano che emergono nuovi problemi, in modo da poter dedicare più tempo alla creazione di applicazioni.
+ AWS WAF è un servizio gestito e non è necessario alcun dispositivo per l'ispezione in questa architettura. Inoltre, fornisce log quasi in tempo reale tramite [Amazon Data Firehose](https://aws.amazon.com/kinesis/data-firehose/). AWS WAF offre una visibilità quasi in tempo reale del tuo traffico web, che puoi utilizzare per creare nuove regole o avvisi in Amazon. CloudWatch
### Considerazioni chiave
+ Questa architettura è la più adatta per l'ispezione delle intestazioni HTTP e le ispezioni distribuite, poiché AWS WAF è integrata su un API Gateway per ALB, distribuzione e CloudFront API. AWS WAF non registra il corpo della richiesta.
+ Il traffico diretto a un secondo set di ALB (se presente) potrebbe non essere ispezionato dalla stessa AWS WAF istanza, perché verrebbe effettuata una nuova richiesta al secondo set di ALB.
# Ispezione centralizzata in entrata con dispositivi di terze parti
In questo modello di progettazione architettonica, distribuisci appliance firewall di terze parti su Amazon EC2 su più zone di disponibilità dietro un Elastic Load Balancer (ELB) come un Load Balancer in un Application/Network VPC Inspection separato.
L'Inspection VPC e gli altri Spoke VPCs sono collegati tra loro tramite un Transit Gateway come allegati VPC. Le applicazioni in Spoke VPCs sono frontend da un ELB interno che può essere ALB o NLB a seconda del tipo di applicazione. I client tramite Internet si connettono al DNS dell'ELB esterno nel VPC di ispezione che indirizza il traffico verso uno dei dispositivi Firewall. Il Firewall ispeziona il traffico e quindi lo indirizza verso Spoke VPC tramite Transit Gateway utilizzando il DNS dell'ELB interno, come illustrato nella figura seguente. Per ulteriori informazioni sull'ispezione di sicurezza in entrata con appliance di terze parti, consulta il post del blog [Come integrare le appliance firewall di terze parti in un ambiente AWS](https://aws.amazon.com/blogs/networking-and-content-delivery/how-to-integrate-third-party-firewall-appliances-into-an-aws-environment/).
![\[Un diagramma che illustra l'ispezione centralizzata del traffico in ingresso utilizzando dispositivi di terze parti ed ELB\]](http://docs.aws.amazon.com/it_it/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/ingress-inspection-third-party.png)
## Vantaggi
+ Questa architettura può supportare qualsiasi tipo di applicazione per l'ispezione e le funzionalità di ispezione avanzate offerte tramite dispositivi firewall di terze parti.
+ Questo modello supporta il routing basato su DNS dai dispositivi firewall a Spoke VPCs, il che consente alle applicazioni di Spoke di VPCs scalare indipendentemente grazie a un ELB.
+ È possibile utilizzare Auto Scaling con ELB per scalare le appliance firewall nel VPC di Inspection.
## Considerazioni chiave
+ È necessario distribuire più dispositivi firewall nelle zone di disponibilità per un'elevata disponibilità.
+ Il firewall deve essere configurato ed eseguito con Source NAT per mantenere la simmetria del flusso, il che significa che l'indirizzo IP del client non sarà visibile all'applicazione.
+ Prendi in considerazione l'implementazione di Transit Gateway e Inspection VPC nell'account Network Services.
+ Costo aggiuntivo del firewall fornito da fornitori terzi. licensing/support I costi di Amazon EC2 dipendono dal tipo di istanza.
# Ispezione del traffico in entrata da Internet utilizzando dispositivi firewall con Gateway Load Balancer
I clienti utilizzano firewall di nuova generazione (NGFW) e sistemi di prevenzione delle intrusioni (IPS) di terze parti come parte della loro strategia di difesa approfondita. Tradizionalmente si tratta spesso di hardware o dispositivi dedicati. software/virtual È possibile utilizzare Gateway Load Balancer per scalare queste appliance virtuali orizzontalmente per ispezionare il traffico da e verso il VPC, come illustrato nella figura seguente.
![\[Un diagramma che illustra l'ispezione centralizzata del traffico in ingresso mediante appliance firewall con Gateway Load Balancer\]](http://docs.aws.amazon.com/it_it/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/ingress-inspection-fa.png)
Nell'architettura precedente, gli endpoint Gateway Load Balancer vengono distribuiti in ciascuna zona di disponibilità in un VPC edge separato. I firewall di nuova generazione, i sistemi di prevenzione delle intrusioni ecc. vengono implementati dietro il Gateway Load Balancer nel VPC centralizzato dell'appliance. Questo VPC dell'appliance può trovarsi nello stesso account AWS dell'appliance VPC o in un account AWS diverso. VPCs Le appliance virtuali possono essere configurate per utilizzare i gruppi Auto Scaling e vengono registrate automaticamente con Gateway Load Balancer, consentendo la scalabilità automatica del livello di sicurezza.
Queste appliance virtuali possono essere gestite accedendo alle relative interfacce di gestione tramite un Internet Gateway (IGW) o utilizzando una configurazione bastion host nel VPC dell'appliance.
Utilizzando la funzionalità di routing in ingresso VPC, la tabella edge route viene aggiornata per instradare il traffico in entrata da Internet alle appliance firewall dotate di Gateway Load Balancer. Il traffico ispezionato viene instradato tramite gli endpoint Gateway Load Balancer verso l'istanza VPC di destinazione. Per informazioni dettagliate sui vari modi di utilizzare [AWS Gateway Load Balancer: Supported architecture patterns, consulta il post sul blog Introducing](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-gateway-load-balancer-supported-architecture-patterns/) Gateway Load Balancer: Supported architecture patterns.
# Utilizzo di AWS Network Firewall per l'ingresso centralizzato
In questa architettura, il traffico in ingresso viene ispezionato AWS Network Firewall prima di raggiungere il resto del. VPCs In questa configurazione, il traffico viene suddiviso tra tutti gli endpoint firewall distribuiti nell'Edge VPC. Si distribuisce una sottorete pubblica tra l'endpoint del firewall e la sottorete Transit Gateway. Puoi utilizzare un ALB o un NLB, che contengono destinazioni IP nel tuo spoke VPCs mentre gestisci l'Auto Scaling per i target sottostanti.
![\[Un diagramma che illustra l'ispezione del traffico in ingresso utilizzando AWS Network Firewall\]](http://docs.aws.amazon.com/it_it/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/ingress-inspection-using-aws-nf.png)
Per semplificare l'implementazione e la gestione AWS Network Firewall di questo modello, AWS Firewall Manager può essere utilizzato. Firewall Manager consente di amministrare centralmente i diversi firewall applicando automaticamente la protezione creata nella posizione centralizzata a più account. Firewall Manager supporta modelli di distribuzione distribuiti e centralizzati per Network Firewall. Il post del blog [How to deploy AWS Network Firewall by using AWS Firewall Manager](https://aws.amazon.com/blogs/security/how-to-deploy-aws-network-firewall-by-using-aws-firewall-manager/) fornisce maggiori dettagli sul modello.
## Deep Packet Inspection (DPI) con AWS Network Firewall
Network Firewall può eseguire un'ispezione approfondita dei pacchetti (DPI) sul traffico in ingresso. Utilizzando un certificato Transport Layer Security (TLS) archiviato in AWS Certificate Manager (ACM), Network Firewall può decrittografare i pacchetti, eseguire DPI e ricrittografare i pacchetti. Esistono alcune considerazioni sulla configurazione del DPI con Network Firewall. Innanzitutto, un certificato TLS affidabile deve essere archiviato in ACM. In secondo luogo, le regole del Network Firewall devono essere configurate per inviare correttamente i pacchetti per la decrittografia e la ricrittografia. Per ulteriori dettagli, consulta il post del blog [Configurazione dell'ispezione TLS per il traffico crittografato](https://aws.amazon.com/blogs/security/tls-inspection-configuration-for-encrypted-traffic-and-aws-network-firewall/). AWS Network Firewall
## Considerazioni chiave per un'architettura AWS Network Firewall di ingresso centralizzata
+ Elastic Load Balancing in Edge VPC può avere solo indirizzi IP come tipi di destinazione, non un nome host. Nella figura precedente, gli obiettivi sono i dati privati IPs del Network Load Balancer in spoke. VPCs L'utilizzo di target IP dietro l'ELB nel VPC edge comporta la perdita dell'Auto Scaling.
+ Prendi in considerazione l'idea di utilizzarlo AWS Firewall Manager come unico pannello di controllo per gli endpoint del firewall.
+ Questo modello di implementazione utilizza l'ispezione del traffico non appena entra nel VPC edge, quindi ha il potenziale per ridurre il costo complessivo dell'architettura di ispezione.