As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Inspeção de entrada centralizada
Os aplicativos voltados para a Internet, por sua natureza, têm uma superfície de ataque maior e estão expostos a categorias de ameaças que a maioria dos outros tipos de aplicativos não precisa enfrentar. Ter a proteção necessária contra ataques a esses tipos de aplicativos e minimizar a área de superfície de impacto são uma parte essencial de qualquer estratégia de segurança.
À medida que você implanta aplicativos em sua Landing Zone, muitos aplicativos serão acessados pelos usuários pela Internet pública (por exemplo, por meio de uma Rede de Entrega de Conteúdo (CDN) ou por meio de um aplicativo web voltado para o público) por meio de um balanceador de carga voltado para o público, gateway de API ou diretamente por meio de um gateway de Internet. Nesse caso, você pode proteger suas cargas de trabalho e aplicativos usando o AWS Web Application Firewall (AWS WAF) para inspeção de aplicativos de entrada ou, IDS/IPS alternativamente, inspeção de entrada usando o Gateway Load Balancer ou. AWS Network Firewall
À medida que você continua implantando aplicativos em sua Landing Zone, talvez seja necessário inspecionar o tráfego de entrada da Internet. Você pode conseguir isso de várias maneiras, usando arquiteturas de inspeção distribuídas, centralizadas ou combinadas usando o Gateway Load Balancer executando seus dispositivos de firewall de terceiros AWS Network Firewall ou com DPI IDS/IPS e recursos avançados por meio do uso de regras Suricata de código aberto. Esta seção aborda o Gateway Load Balancer e AWS Network Firewall uma implantação centralizada, usando a AWS Transit Gateway atuação como um hub central para rotear o tráfego.
## AWS WAF e AWS Firewall Manager para inspecionar o tráfego de entrada da Internet
AWS WAF é um firewall de aplicativos da Web que ajuda a proteger seus aplicativos da Web ou APIs contra explorações e bots comuns da Web que podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos. AWS WAF oferece controle sobre como o tráfego chega aos seus aplicativos, permitindo que você crie regras de segurança que controlam o tráfego de bots e bloqueiam padrões de ataque comuns, como injeção de SQL ou cross-site scripting (XSS). Você também pode personalizar regras que filtram padrões de tráfego específicos.
Você pode implantar AWS WAF na Amazon CloudFront como parte de sua solução de CDN, o Application Load Balancer que está na frente de seus servidores web, o Amazon API Gateway para seu APIs REST ou para seu AWS AppSync GraphQL. APIs
Depois de implantar AWS WAF, você pode criar suas próprias regras de filtro de tráfego usando o criador visual de regras, código em JSON, regras gerenciadas mantidas por AWS, ou você pode assinar regras de terceiros a partir do AWS Marketplace. Essas regras podem filtrar o tráfego indesejado avaliando o tráfego em relação aos padrões especificados. Você também pode usar a Amazon CloudWatch para monitorar métricas de tráfego de entrada e registrar.
Para gerenciamento centralizado em todas as suas contas e aplicativos em AWS Organizations, você pode usar AWS Firewall Manager. AWS Firewall Manager é um serviço de gerenciamento de segurança que permite configurar e gerenciar centralmente as regras de firewall. À medida que seus novos aplicativos são criados, AWS Firewall Manager fica mais fácil colocar novos aplicativos e recursos em conformidade, aplicando um conjunto comum de regras de segurança.
Usando AWS Firewall Manager, você pode implantar facilmente AWS WAF regras para seus Application Load Balancers, instâncias do API Gateway e CloudFront distribuições da Amazon. AWS Firewall Manager se integra ao AWS Managed Rules for AWS WAF, o que oferece uma maneira fácil de implantar AWS WAF regras pré-configuradas e selecionadas em seus aplicativos. Para obter mais informações sobre o gerenciamento centralizado AWS WAF com AWS Firewall Manager, consulte [Gerenciar centralmente AWS WAF (API v2) e AWS Managed Rules em](https://aws.amazon.com/blogs/security/centrally-manage-aws-waf-api-v2-and-aws-managed-rules-at-scale-with-firewall-manager/) escala com. AWS Firewall Manager
![\[Um diagrama que descreve a inspeção centralizada do tráfego de entrada usando AWS WAF\]](http://docs.aws.amazon.com/pt_br/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/inbound-traffic-inspection-with-waf.png)
Na arquitetura anterior, os aplicativos são executados em instâncias do Amazon EC2 em várias zonas de disponibilidade nas sub-redes privadas. Há um Application Load Balancer (ALB) voltado para o público implantado na frente das instâncias do Amazon EC2, balanceando a carga das solicitações entre destinos diferentes. O AWS WAF está associado ao ALB.
### Vantagens
+ Com o [AWS WAF Bot Control](https://aws.amazon.com/waf/features/bot-control/), você obtém visibilidade e controle sobre o tráfego comum e generalizado de bots em seus aplicativos.
+ Com o [Managed Rules for AWS WAF](https://aws.amazon.com/marketplace/solutions/security/waf-managed-rules), você pode começar rapidamente e proteger seu aplicativo web ou APIs contra ameaças comuns. Você pode escolher entre vários tipos de regras, como aquelas que abordam questões como os 10 principais riscos de segurança do Open Web Application Security Project (OWASP), ameaças específicas a sistemas de gerenciamento de conteúdo (CMS), como o Joomla, WordPress ou até mesmo vulnerabilidades e exposições comuns emergentes (CVE). As regras gerenciadas são atualizadas automaticamente à medida que surgem novos problemas, para que você possa passar mais tempo criando aplicativos.
+ AWS WAF é um serviço gerenciado e nenhum dispositivo é necessário para inspeção nessa arquitetura. Além disso, ele fornece registros quase em tempo real por meio do [Amazon Data Firehose](https://aws.amazon.com/kinesis/data-firehose/). AWS WAF oferece visibilidade quase em tempo real do seu tráfego na web, que você pode usar para criar novas regras ou alertas na Amazon. CloudWatch
### Considerações importantes
+ Essa arquitetura é mais adequada para inspeção de cabeçalhos HTTP e inspeções distribuídas, pois AWS WAF está integrada em um gateway por ALB, CloudFront distribuição e API. AWS WAF não registra o corpo da solicitação.
+ O tráfego que vai para um segundo conjunto de ALB (se presente) pode não ser inspecionado pela mesma AWS WAF instância; porque uma nova solicitação seria feita para o segundo conjunto de ALB.
# Inspeção de entrada centralizada com dispositivos de terceiros
Nesse padrão de projeto arquitetônico, você implanta dispositivos de firewall de terceiros no Amazon EC2 em várias zonas de disponibilidade por trás de um Elastic Load Balancer (ELB), como um Load Application/Network Balancer, em uma VPC de inspeção separada.
A VPC de inspeção e outras Spoke VPCs são conectadas por meio de um Transit Gateway como anexos de VPC. Os aplicativos no Spoke VPCs são front-end por um ELB interno que pode ser ALB ou NLB, dependendo do tipo de aplicativo. Os clientes pela Internet se conectam ao DNS do ELB externo na VPC de inspeção, que roteia o tráfego para um dos dispositivos de firewall. O Firewall inspeciona o tráfego e, em seguida, roteia o tráfego para o Spoke VPC por meio do Transit Gateway usando o DNS do ELB interno, conforme mostrado na figura a seguir. Para obter mais informações sobre a inspeção de segurança de entrada com dispositivos de terceiros, consulte a postagem do blog [Como integrar dispositivos de firewall de terceiros em um ambiente da AWS](https://aws.amazon.com/blogs/networking-and-content-delivery/how-to-integrate-third-party-firewall-appliances-into-an-aws-environment/).
![\[Um diagrama que descreve a inspeção centralizada do tráfego de entrada usando dispositivos de terceiros e o ELB\]](http://docs.aws.amazon.com/pt_br/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/ingress-inspection-third-party.png)
## Vantagens
+ Essa arquitetura pode suportar qualquer tipo de aplicativo para inspeção e recursos avançados de inspeção oferecidos por meio de dispositivos de firewall de terceiros.
+ Esse padrão oferece suporte ao roteamento baseado em DNS dos dispositivos de firewall para o spoke VPCs, o que permite que os aplicativos no Spoke VPCs sejam escalados de forma independente por trás de um ELB.
+ Você pode usar o Auto Scaling com o ELB para escalar os dispositivos de firewall na VPC de inspeção.
## Considerações importantes
+ Você precisa implantar vários dispositivos de firewall nas zonas de disponibilidade para obter alta disponibilidade.
+ O firewall precisa ser configurado e executar o NAT de origem para manter a simetria do fluxo, o que significa que o endereço IP do cliente não estará visível para o aplicativo.
+ Considere implantar o Transit Gateway e o Inspection VPC na conta de Serviços de Rede.
+ Custo adicional de firewall licensing/support de fornecedores terceirizados. As cobranças do Amazon EC2 dependem do tipo de instância.
# Inspecionando o tráfego de entrada da Internet usando dispositivos de firewall com o Gateway Load Balancer
Os clientes usam firewalls de próxima geração (NGFW) e sistemas de prevenção de intrusões (IPS) de terceiros como parte de sua estratégia de defesa em profundidade. Tradicionalmente, eles geralmente são hardware ou software/virtual dispositivos dedicados. Você pode usar o Gateway Load Balancer para escalar esses dispositivos virtuais horizontalmente para inspecionar o tráfego de e para sua VPC, conforme mostrado na figura a seguir.
![\[Um diagrama que descreve a inspeção centralizada do tráfego de entrada usando dispositivos de firewall com o Gateway Load Balancer\]](http://docs.aws.amazon.com/pt_br/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/ingress-inspection-fa.png)
Na arquitetura anterior, os endpoints do Gateway Load Balancer são implantados em cada zona de disponibilidade em uma VPC de borda separada. Os firewalls de próxima geração, os sistemas de prevenção de intrusões etc. são implantados por trás do Gateway Load Balancer na VPC do dispositivo centralizado. Essa VPC do dispositivo pode estar na mesma conta da AWS que a VPCs spoke ou em uma conta diferente da AWS. Os dispositivos virtuais podem ser configurados para usar grupos de Auto Scaling e são registrados automaticamente no Gateway Load Balancer, permitindo o escalonamento automático da camada de segurança.
Esses dispositivos virtuais podem ser gerenciados acessando suas interfaces de gerenciamento por meio de um Internet Gateway (IGW) ou usando uma configuração de bastion host na VPC do appliance.
Usando o recurso de roteamento de entrada da VPC, a tabela de rotas de borda é atualizada para rotear o tráfego de entrada da Internet para os dispositivos de firewall por trás do Gateway Load Balancer. O tráfego inspecionado é roteado por meio de endpoints do Gateway Load Balancer para a instância VPC de destino. Consulte a postagem do blog [Introducing AWS Gateway Load Balancer: Supported architecture patterns](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-gateway-load-balancer-supported-architecture-patterns/) para obter detalhes sobre várias maneiras de usar o Gateway Load Balancer.
# Usando o AWS Network Firewall para entrada centralizada
Nessa arquitetura, o tráfego de entrada é inspecionado AWS Network Firewall antes de chegar ao resto do. VPCs Nessa configuração, o tráfego é dividido entre todos os endpoints de firewall implantados no Edge VPC. Você implanta uma sub-rede pública entre o endpoint do firewall e a sub-rede do Transit Gateway. Você pode usar um ALB ou NLB, que contêm alvos IP em seu raio e, VPCs ao mesmo tempo, manipular o Auto Scaling para alvos atrás deles.
![\[Um diagrama que descreve a inspeção do tráfego de entrada usando o AWS Network Firewall\]](http://docs.aws.amazon.com/pt_br/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/ingress-inspection-using-aws-nf.png)
Para simplificar a implantação e o gerenciamento deste AWS Network Firewall modelo, AWS Firewall Manager pode ser usado. O Firewall Manager permite que você administre centralmente seus diferentes firewalls aplicando automaticamente a proteção que você cria no local centralizado a várias contas. O Firewall Manager oferece suporte a modelos de implantação distribuídos e centralizados para o Firewall de Rede. A postagem do blog [Como implantar AWS Network Firewall usando AWS Firewall Manager](https://aws.amazon.com/blogs/security/how-to-deploy-aws-network-firewall-by-using-aws-firewall-manager/) fornece mais detalhes sobre o modelo.
## Inspeção profunda de pacotes (DPI) com AWS Network Firewall
O Network Firewall pode realizar uma inspeção profunda de pacotes (DPI) no tráfego de entrada. Usando um certificado TLS (Transport Layer Security) armazenado no AWS Certificate Manager (ACM), o Network Firewall pode descriptografar pacotes, executar DPI e recriptografar pacotes. Há algumas considerações para configurar o DPI com o Network Firewall. Primeiro, um certificado TLS confiável deve ser armazenado no ACM. Segundo, as regras do Firewall de Rede devem ser configuradas para enviar pacotes corretamente para decodificação e recriptografia. Consulte a postagem do blog [Configuração de inspeção TLS para tráfego criptografado e AWS Network Firewall](https://aws.amazon.com/blogs/security/tls-inspection-configuration-for-encrypted-traffic-and-aws-network-firewall/) para obter mais detalhes.
## Principais considerações AWS Network Firewall em uma arquitetura de entrada centralizada
+ O Elastic Load Balancing no Edge VPC só pode ter endereços IP como tipos de destino, não um nome de host. Na figura anterior, os alvos são a privacidade IPs do Network Load Balancer em fala. VPCs Usar alvos IP por trás do ELB na VPC de borda resulta na perda do Auto Scaling.
+ Considere o uso AWS Firewall Manager como um único painel de vidro para seus endpoints de firewall.
+ Esse modelo de implantação usa a inspeção de tráfego logo que entra na VPC de borda, portanto, tem o potencial de reduzir o custo geral de sua arquitetura de inspeção.