本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 集中入库检查
就其本质而言,面向互联网的应用程序具有更大的攻击面,并且容易受到大多数其他类型的应用程序不必面对的威胁类别。为这些类型的应用程序提供必要的保护,使其免受攻击,并最大限度地减少影响表面积,是任何安全策略的核心部分。
当您在着陆区部署应用程序时,用户将通过面向公众的负载均衡器、API 网关或直接通过互联网网关通过公共互联网(例如,通过内容分发网络 (CDN) 或面向公众的 Web 应用程序)访问许多应用程序。在这种情况下,您可以使用 AWS Web 应用程序防火墙 (AWS WAF) 进行入站应用程序检查,或者使用 Gateway Load Balancer 或进行 IDS/IPS 入站检查来保护您的工作负载和应用程序。 AWS Network Firewall
当你继续在着陆区部署应用程序时,你可能需要检查入站互联网流量。您可以通过多种方式实现这一目标, AWS Network Firewall 包括使用分布式、集中式或组合式检查架构,使用运行第三方防火墙设备的 Gateway Load Balancer,或者通过使用开源 Suricata 规则使用高级 DPI 和 IDS/IPS 功能。本节涵盖了 Gateway Load Balancer 和 AWS Network Firewall 集中式部署,使用它 AWS Transit Gateway 作为路由流量的中心枢纽。
## AWS WAF 并 AWS Firewall Manager 用于检查来自互联网的入站流量
AWS WAF 是一种 Web 应用程序防火墙,可帮助保护您的 Web 应用程序或 APIs防范可能影响可用性、危及安全性或消耗过多资源的常见 Web 漏洞和机器人。 AWS WAF 允许您创建控制机器人流量和阻止常见攻击模式(例如 SQL 注入或跨站脚本 (XSS))的安全规则,从而控制流量如何到达您的应用程序。您还可以自定义规则来过滤掉特定流量模式。
您可以将应用程序负载均衡器 CloudFront 作为您的 CDN 解决方案的一部分部署 AWS WAF 在亚马逊上,在您的网络服务器上部署应用程序负载均衡器,用于您的 RES APIs T 或 AWS AppSync GraphQL 的 Amazon API Gateway。 APIs
部署完成后 AWS WAF,您可以使用可视化规则生成器、JSON 中的代码、由维护的托管规则来创建自己的流量过滤规则 AWS,也可以从中订阅第三方规则 AWS Marketplace。这些规则可以通过根据指定模式评估流量来过滤掉不需要的流量。您可以进一步使用 Amazon CloudWatch 监控传入流量指标和记录。
要对中的所有账户和应用程序进行集中管理 AWS Organizations,可以使用 AWS Firewall Manager。 AWS Firewall Manager 是一项安全管理服务,允许您集中配置和管理防火墙规则。在创建新应用程序时,通过强制执行一组通用的安全规则,可以轻松地 AWS Firewall Manager 使新的应用程序和资源达到合规性。
使用 AWS Firewall Manager,您可以轻松地为应用程序负载均衡器、API Gateway 实例和 Amazon CloudFront 分配推出 AWS WAF 规则。 AWS Firewall Manager 与 f AWS 托管式规则 or 集成 AWS WAF,这使您可以轻松地在应用程序上部署预先配置的精选 AWS WAF 规则。有关使用集中管理的更多信息 AWS WAF AWS Firewall Manager,请参阅[集中管理 AWS WAF (API v2) 和使用 AWS 托管式规则 进行 AWS Firewall Manager大规模](https://aws.amazon.com/blogs/security/centrally-manage-aws-waf-api-v2-and-aws-managed-rules-at-scale-with-firewall-manager/)管理。
![\[描绘集中式入站流量检查的示意图 AWS WAF\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/inbound-traffic-inspection-with-waf.png)
在上述架构中,应用程序在私有子网中多个可用区的 Amazon EC2 实例上运行。在 Amazon EC2 实例前面部署了一个面向公众的应用程序负载均衡器 (ALB),用于在不同目标之间对请求进行负载平衡。与 AWS WAF ALB 关联。
### 优点
+ 借助 [AWS WAF Bot](https://aws.amazon.com/waf/features/bot-control/) Control,您可以查看和控制应用程序中常见且普遍存在的机器人流量。
+ 借助[的托管规则 AWS WAF](https://aws.amazon.com/marketplace/solutions/security/waf-managed-rules),您可以快速入门并保护您的 Web 应用程序或免受常见威胁的 APIs 侵害。您可以从许多规则类型中进行选择,例如解决开放网络应用程序安全项目 (OWASP) 十大安全风险、特定于内容管理系统 (CMS) 的威胁(如 WordPress 或 Joomla),甚至是新出现的常见漏洞和暴露 (CVE)。随着新问题的出现,托管规则会自动更新,因此您可以将更多时间花在构建应用程序上。
+ AWS WAF 是一项托管服务,在此架构中不需要任何设备进行检查。此外,它还通过[亚马逊数据Fire](https://aws.amazon.com/kinesis/data-firehose/) hose提供近乎实时的日志。 AWS WAF 让您近乎实时地了解您的网络流量,您可以使用它在 Amazon 中创建新规则或提醒。 CloudWatch
### 重要注意事项
+ 此架构最适合 HTTP 标头检查和分布式检查,因为它 AWS WAF 集成在每个 ALB、 CloudFront 分发和 API Gateway 上。 AWS WAF 不记录请求正文。
+ 进入第二组 ALB(如果存在)的流量可能不会被同一个 AWS WAF 实例检查;因为会向第二组 ALB 发出新的请求。
# 使用第三方设备进行集中入库检查
在这种架构设计模式中,您可以在 Amazon EC2 上跨弹性负载均衡器 (ELB) 后面的多个可用区部署第三方防火墙设备,例如单独检查 VPC 中的 Application/Network 负载均衡器。
检查 VPC 和其他分支 VPCs 通过 Transit Gateway 作为 VPC 附件连接在一起。Spoke 中的应用程序 VPCs 是内部 ELB 的前端,内部 ELB 可以是 ALB 或 NLB,具体取决于应用程序类型。通过互联网的客户端连接到检查 VPC 中外部 ELB 的 DNS,后者将流量路由到其中一个防火墙设备。防火墙检查流量,然后使用内部 ELB 的 DNS 通过 Transit Gateway 将流量路由到分支 VPC,如下图所示。有关使用第三方设备进行入站安全检查的更多信息,请参阅[如何将第三方防火墙设备集成到 AWS 环境](https://aws.amazon.com/blogs/networking-and-content-delivery/how-to-integrate-third-party-firewall-appliances-into-an-aws-environment/)中的博客文章。
![\[描绘使用第三方设备和 ELB 进行集中入口流量检查的示意图\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/ingress-inspection-third-party.png)
## 优点
+ 该架构可以支持任何类型的应用程序进行检查,并支持通过第三方防火墙设备提供的高级检查功能。
+ 此模式支持从防火墙设备到分支的基于 DNS 的路由 VPCs,这允许 Spok VPCs e 中的应用程序在 ELB 后独立扩展。
+ 您可以使用 Auto Scaling 和 ELB 来扩展检查 VPC 中的防火墙设备。
## 重要注意事项
+ 您需要跨可用区部署多个防火墙设备以实现高可用性。
+ 为了保持流量对称性,需要配置防火墙并执行源 NAT,这意味着应用程序无法看到客户端 IP 地址。
+ 考虑在网络服务账户中部署 Transit Gateway 和 Inspection VPC。
+ 额外的第三方供应商防火墙 licensing/support 成本。Amazon EC2 费用取决于实例类型。
# 使用带有 Gateway Load Balancer 的防火墙设备检查来自互联网的入站流量
客户使用第三方下一代防火墙 (NGFW) 和入侵防御系统 (IPS) 作为其深度防御策略的一部分。 传统上,它们通常是专用的硬件或 software/virtual 设备。您可以使用 Gateway Load Balancer 水平扩展这些虚拟设备,以检查进出您的 VPC 的流量,如下图所示。
![\[该图描绘了使用带有 Gateway Load Balancer 的防火墙设备进行集中入口流量检查\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/ingress-inspection-fa.png)
在前面的架构中,Gateway Load Balancer 终端节点部署在单独的边缘 VPC 中的每个可用区中。下一代防火墙、入侵防御系统等部署在集中式设备 VPC 中的 Gateway Load Balancer 后面。此设备 VPC 可以与分支账户位于相同的 AWS 账户中, VPCs 也可以位于不同的 AWS 账户中。虚拟设备可以配置为使用 Auto Scaling 组,并自动向网关负载均衡器注册,从而允许自动扩展安全层。
这些虚拟设备可以通过通过 Internet Gateway (IGW) 访问其管理界面或使用设备 VPC 中的堡垒主机设置进行管理。
使用 VPC 入口路由功能,可以更新边缘路由表,将入站流量从互联网路由到 Gateway Load Balancer 后面的防火墙设备。被检查的流量通过 Gateway Load Balancer 终端节点路由到目标 VPC 实例。有关使用 [AWS Gateway Load Balancer 的各种方式的详细信息,请参阅网关负载均衡器简介:支持的架构模式](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-gateway-load-balancer-supported-architecture-patterns/)博客文章。
# 使用 AWS Network Firewall 进行集中式入口
在此架构中,入口流量在到达其余部分 AWS Network Firewall 之前要经过检查。 VPCs在此设置中,流量在 Edge VPC 中部署的所有防火墙端点之间进行分配。您可以在防火墙终端节点和 Transit Gateway 子网之间部署公有子网。你可以使用 ALB 或 NLB,它们在辐条中包含 IP 目标, VPCs 同时为其后面的目标处理 Auto Scaling。
![\[描绘使用 AWS Network Firewall 进行入口流量检查的示意图\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/ingress-inspection-using-aws-nf.png)
为了简化此模型 AWS Network Firewall 中的部署和管理, AWS Firewall Manager 可以使用。Firewall Manager 允许您通过自动将您在集中位置创建的保护应用于多个帐户来集中管理不同的防火墙。Firewall Manager 支持网络防火墙的分布式和集中式部署模式。博客文章《[如何使用 AWS Network Firewall 进行部署](https://aws.amazon.com/blogs/security/how-to-deploy-aws-network-firewall-by-using-aws-firewall-manager/)》 AWS Firewall Manager提供了有关模型的更多详细信息。
## 使用深度数据包检测 (DPI) AWS Network Firewall
Network Firewall 可以对入口流量执行深度包检测 (DPI)。使用存储在 (ACM) 中的 AWS Certificate Manager 传输层安全 (TLS) 证书,Network Firewall 可以解密数据包、执行 DPI 和重新加密数据包。使用 Network Firewall 设置 DPI 需要考虑一些注意事项。首先,必须将可信的 TLS 证书存储在 ACM 中。其次,必须将 Network Firewall 规则配置为正确发送数据包进行解密和重新加密。有关更多详细信息,请参阅博客文章[加密流量的 TLS 检查配置](https://aws.amazon.com/blogs/security/tls-inspection-configuration-for-encrypted-traffic-and-aws-network-firewall/)。 AWS Network Firewall
## 集中式入口 AWS Network Firewall 架构中的关键注意事项
+ 边缘 VPC 中的 Elastic Load Balancing 只能将 IP 地址作为目标类型,而不是主机名。在上图中,目标是分支中网络负载均衡 IPs 器的私有目标 VPCs。在边缘 VPC 中使用 ELB 后面的 IP 目标会导致 Auto Scaling 丢失。
+ 考虑 AWS Firewall Manager 将其用作防火墙端点的单一管理面板。
+ 这种部署模式在进入边缘 VPC 时直接使用流量检查,因此有可能降低检查架构的总体成本。