# SEC05-BP03 實作以檢查為基礎的保護
<a name="sec_network_protection_inspection"></a>

 在網路層之間設定流量檢測點，以確保傳輸中的資料符合預期的類別和模式。 分析流量流程、中繼資料和模式，以協助更有效地識別、偵測及回應事件。

 **預期成果：**在網路層之間穿梭的流量會經過檢測和授權。 允許和拒絕決策取決於明確的規則、威脅情報以及偏離基準行為的程度。 流量越接近敏感資料，防護就會越嚴格。

 **常見的反模式：**
+  僅仰賴以連接埠和通訊協定為準的防火牆規則。未善加利用情報系統。
+  根據可能隨時變更的特定目前威脅模式制訂防火牆規則。
+  僅檢測從私有子網路傳輸到公有子網路的流量，或從公有子網路傳輸到網際網路的流量。
+  沒有網路流量基準點可比較，以識別行為異常。

 **建立此最佳實務的優勢：**檢測系統可讓您制訂智慧型規則，例如，只有在流量資料內存在特定條件時，才允許或拒絕流量。根據最新的威脅情報，隨著威脅態勢隨著時間的變化，從 AWS 和 合作夥伴的受管規則集中受益。 這可減輕維護規則和研究入侵指標的工作負擔，進而降低誤報的可能性。

 **未建立此最佳實務時的曝險等級：**中 

## 實作指引
<a name="implementation-guidance"></a>

 使用 AWS Network Firewall或其他[防火牆](https://aws.amazon.com/marketplace/search/results?searchTerms=firewalls)和[入侵預防系統](https://aws.amazon.com/marketplace/search/results?searchTerms=Intrusion+Prevention+Systems) （IPS） 精細控制具狀態和無狀態網路流量 AWS Marketplace ，您可以在 [Gateway Load Balancer （GWLB）](https://aws.amazon.com/elasticloadbalancing/gateway-load-balancer/) 後方部署。AWS Network Firewall 支援 [Suricata 相容的](https://docs.aws.amazon.com/network-firewall/latest/developerguide/stateful-rule-groups-ips.html)開放原始碼IPS規格，以協助保護您的工作負載。

 AWS Network Firewall 和廠商解決方案都支援GWLB不同的內嵌檢查部署模型。 例如，您可以根據基準VPC執行檢查、集中在檢查 中VPC，或在混合模型中部署，其中東西流量會流經檢查，VPC而網際網路傳入會按檢查VPC。 另一個考量是解決方案是否支援取消包裝 Transport Layer Security （TLS），可針對任一方向啟動的流量進行深度封包檢查。如需這些組態的相關資訊和深入資訊，請參閱 [AWS Network Firewall 最佳實務指南](https://aws.github.io/aws-security-services-best-practices/guides/network-firewall/)。

 如果您使用的是執行 out-of-band檢查的解決方案，例如從以半透明模式操作的網路介面進行封包資料的 pcap 分析，則可以設定[VPC流量鏡像 ](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html)。鏡像流量會計入介面的可用頻寬，並且您需支付與非鏡像流量相同的資料傳輸費用。您可以查看這些設備的虛擬版本是否可在 上使用[AWS Marketplace](https://aws.amazon.com/marketplace/solutions/infrastructure-software/cloud-networking)，這可能支援在 後方的內嵌部署GWLB。

 對於透過 HTTP型通訊協定進行交易的元件，請使用 Web 應用程式防火牆 （WAF） 保護您的應用程式免受常見威脅。 [AWS WAF](https://aws.amazon.com/waf) 是一種 Web 應用程式防火牆，可讓您在傳送至 Amazon API Gateway、Amazon CloudFront AWS AppSync 或 Application Load Balancer 之前，監控並封鎖符合您可設定規則的 HTTP（S） 請求。當您評估 Web 應用程式防火牆的部署時，請考慮進行深度封包檢查，因為有些 會要求您在流量檢查TLS之前終止。若要開始使用 AWS WAF，您可以[AWS 受管規則](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html#getting-started-wizard-add-rule-group)搭配自己的 使用，或使用現有的[合作夥伴整合 ](https://aws.amazon.com/waf/partners/)。

 您可以使用 集中管理組織中的 AWS Network Firewall AWS AWS WAF AWS Shield Advanced、 和 Amazon VPC安全群組[AWS Firewall Manager](https://aws.amazon.com/firewall-manager/)。  

## 實作步驟
<a name="implementation-steps"></a>

1.  判斷您是否可以廣泛地範圍檢查規則，例如透過檢查 VPC，或者是否需要每個VPC方法更精細。

1.  對於內嵌檢測解決方案：

   1.  如果使用 AWS Network Firewall，請建立規則、防火牆政策和防火牆本身。上述這些設定完成後，您可以[將流量路由至防火牆端點](https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/)以啟用檢測。  

   1.  如果搭配 Gateway Load Balancer （GWLB） 使用第三方設備，請在一或多個可用區域中部署和設定您的設備。然後，建立您的 GWLB、端點服務、端點，並設定流量的路由。

1.  對於 out-of-band檢查解決方案：

   1.  在應鏡像傳入和傳出流量的介面上開啟VPC流量鏡像。您可以使用 Amazon EventBridge 規則來叫用 AWS Lambda 函數，以在建立新資源時開啟介面上的流量鏡像。將流量鏡像工作階段指向處理流量的設備前方的 Network Load Balancer。

1.  對於傳入 Web 流量解決方案：

   1.  若要設定 AWS WAF，請先設定 Web 存取控制清單 （web ACL）。Web ACL是具有序列處理預設動作 （ALLOW 或 DENY） 的規則集合，可定義您的 WAF 如何處理流量。您可以在 Web 中建立自己的規則和群組，或使用 AWS 受管規則群組ACL。

   1.  設定 Web ACL 後，請將 Web ACL與 AWS 資源 （例如 Application Load Balancer、APIGateway REST API或 CloudFront 分佈） 建立關聯，以開始保護 Web 流量。

## 資源
<a name="resources"></a>

 **相關文件：**
+  [什麼是流量鏡像？](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html) 
+  [使用第三方安全設備實作內嵌流量檢測](https://docs.aws.amazon.com/prescriptive-guidance/latest/inline-traffic-inspection-third-party-appliances/welcome.html) 
+  [AWS Network Firewall 具有路由的範例架構](https://docs.aws.amazon.com/network-firewall/latest/developerguide/architectures.html) 
+  [使用 AWS Gateway Load Balancer 和 的集中式檢查架構 AWS Transit Gateway](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-inspection-architecture-with-aws-gateway-load-balancer-and-aws-transit-gateway/) 

 **相關範例：**
+  [部署 Gateway Load Balancer 的最佳實務](https://aws.amazon.com/blogs/networking-and-content-delivery/best-practices-for-deploying-gateway-load-balancer/) 
+  [TLS 加密輸出流量和 的檢查組態 AWS Network Firewall](https://aws.amazon.com/blogs/security/tls-inspection-configuration-for-encrypted-egress-traffic-and-aws-network-firewall/) 

 **相關工具：**
+  [AWS Marketplace IDS/IPS](https://aws.amazon.com/marketplace/search/results?prevFilters=%257B%2522id%2522%3A%25220ed48363-5064-4d47-b41b-a53f7c937314%2522%257D&searchTerms=ids%2Fips)