# SEC05-BP03 实施基于检查的保护
<a name="sec_network_protection_inspection"></a>

 在各网络层之间设置流量检测点，确保传输中数据符合预期的类别和模式。 分析流量、元数据和模式，以便于更有效地识别、检测和响应事件。

 **期望结果：**在各网络层之间穿行的流量均经过检查和授权。 允许和拒绝的决定基于明确的规则、威胁情报和偏离基线的行为。 流量越接近敏感数据，保护措施就越严格。

 **常见反模式：**
+  仅依赖基于端口和协议的防火墙规则，而不利用智能系统。
+  根据当前可能发生变化的特定威胁模式制定防火墙规则。
+  只检查从私有子网传输到公有子网或从公有子网传输到互联网的流量。
+  没有网络流量基线视图，无法与异常行为对照。

 **建立此最佳实践的好处：**检测系统允许您制定智能规则，例如仅当流量数据中存在特定条件时才允许或拒绝流量。根据最新的威胁情报，从 AWS 和合作伙伴提供的托管规则集获益，因为威胁状况会随着时间的推移而发生变化。 这减少了维护规则和研究折衷指标的开销，降低了误报的可能性。

 **在未建立这种最佳实践的情况下暴露的风险等级：**中 

## 实施指导
<a name="implementation-guidance"></a>

 使用 AWS Network Firewall 或 AWS Marketplace 上其它可部署在[网关负载均衡器（GWLB）](https://aws.amazon.com/elasticloadbalancing/gateway-load-balancer/)后面的[防火墙](https://aws.amazon.com/marketplace/search/results?searchTerms=firewalls)和[入侵防御系统](https://aws.amazon.com/marketplace/search/results?searchTerms=Intrusion+Prevention+Systems)（IPS，Intrusion Prevention Systems），对有状态和无状态网络流量进行细粒度控制。AWS Network Firewall 支持[与 Suricata 兼容](https://docs.aws.amazon.com/network-firewall/latest/developerguide/stateful-rule-groups-ips.html)的开源 IPS 规范，有助于保护您的工作负载。

 AWS Network Firewall 和使用 GWLB 的供应商解决方案都支持不同的内联检查部署模型。 例如，您可以逐个 VPC 执行检查，在所检查 VPC 内集中进行检查，或者以混合模式进行部署，即东西向流量流经检查 VPC，而互联网入口则逐个 VPC 进行检查。 另一个考虑因素是，解决方案是否支持解包传输层安全性协议（TLS），从而能够对任一方向启动的流量进行深度数据包检查。有关这些配置的更多信息和深入细节，请参阅《[AWS Network Firewall 最佳实践指南](https://aws.github.io/aws-security-services-best-practices/guides/network-firewall/)》。

 如果您使用的是执行带外检查的解决方案，例如对来自以混杂模式运行的网络接口的数据包数据进行 pcap 分析，则可以配置 [VPC 流量镜像](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html)。镜像流量计入接口的可用带宽，与非镜像流量收取相同的数据传输费用。您可以查看 [AWS Marketplace](https://aws.amazon.com/marketplace/solutions/infrastructure-software/cloud-networking) 上是否有这些设备的虚拟版本，它们可能支持在 GWLB 后面进行内联部署。

 对于通过基于 HTTP 的协议进行事务处理的组件，应使用 Web 应用程序防火墙（WAF，Web Application Firewall）保护应用程序免受常见威胁。[AWS WAF](https://aws.amazon.com/waf) 是一种 Web 应用程序防火墙，可让您在将符合可配置规则的 HTTP(S) 请求发送到 Amazon API Gateway、Amazon CloudFront、AWS AppSync 或应用程序负载均衡器之前，监控并阻止这些请求。在评估 Web 应用程序防火墙的部署时，可以考虑深度数据包检查，因为有些防火墙要求在流量检查前终止 TLS。要开始使用 AWS WAF，您可以将 [AWS 托管式规则](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html#getting-started-wizard-add-rule-group) 与自己的规则结合使用，也可以使用现有的[合作伙伴集成](https://aws.amazon.com/waf/partners/)。

 您可以使用 [AWS Firewall Manager](https://aws.amazon.com/firewall-manager/)，在整个 AWS 组织内集中管理 AWS WAF、AWS Shield Advanced、AWS Network Firewall 和 Amazon VPC 安全组。  

## 实施步骤
<a name="implementation-steps"></a>

1.  确定是可以通过检查 VPC 等方式宽泛地确定检查规则的范围，还是需要更细粒度的针对每个 VPC 的方法。

1.  对于内联检查解决方案：

   1.  如果使用 AWS Network Firewall，则创建规则、防火墙策略和防火墙本身。配置完这些后，就可以[将流量路由到防火墙端点](https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/)以便启用检查。  

   1.  如果使用带有网关负载均衡器（GWLB）的第三方设备，请在一个或多个可用区内部署和配置设备。然后，创建 GWLB、端点服务、端点，并为流量配置路由。

1.  对于带外检查解决方案：

   1.  在应该对入站和出站流量进行镜像的接口上，启用 VPC 流量镜像功能。您可以使用 Amazon EventBridge 规则调用 AWS Lambda 函数，以便在创建新资源时在接口上启用流量镜像功能。将流量镜像会话指向在设备前面处理流量的网络负载均衡器。

1.  对于入站 Web 流量解决方案：

   1.  要配置 AWS WAF，首先要配置 Web 访问控制列表（Web ACL）。Web ACL 是众多规则的集合，具有连续处理的默认操作（ALLOW 或 DENY），可定义 WAF 如何处理流量。您可以创建自己的规则和组，也可以在 Web ACL 中使用 AWS 托管规则组。

   1.  配置好 Web ACL 后，将 Web ACL 与 AWS 资源（如应用程序负载均衡器、API Gateway REST API 或 CloudFront 分配）关联，即可开始保护 Web 流量。

## 资源
<a name="resources"></a>

 **相关文档：**
+  [What is Traffic Mirroring?](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html)
+  [Implementing inline traffic inspection using third-party security appliances](https://docs.aws.amazon.com/prescriptive-guidance/latest/inline-traffic-inspection-third-party-appliances/welcome.html) 
+  [AWS Network Firewall example architectures with routing](https://docs.aws.amazon.com/network-firewall/latest/developerguide/architectures.html) 
+  [Centralized inspection architecture with AWS Gateway Load Balancer and AWS Transit Gateway](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-inspection-architecture-with-aws-gateway-load-balancer-and-aws-transit-gateway/) 

 **相关示例：**
+  [部署网关负载均衡器的最佳实践](https://aws.amazon.com/blogs/networking-and-content-delivery/best-practices-for-deploying-gateway-load-balancer/) 
+  [TLS inspection configuration for encrypted egress traffic and AWS Network Firewall](https://aws.amazon.com/blogs/security/tls-inspection-configuration-for-encrypted-egress-traffic-and-aws-network-firewall/) 

 **相关工具：**
+  [AWS Marketplace IDS/IPS](https://aws.amazon.com/marketplace/search/results?prevFilters=%257B%2522id%2522%3A%25220ed48363-5064-4d47-b41b-a53f7c937314%2522%257D&searchTerms=ids%2Fips)