AWS VPC ซับเน็ตจัดเส้นทางไปยังไฟร์วอลล์กลาง

0

เรามี VPC ขนาดเล็กที่มีสามซับเน็ต (WAN (สาธารณะ), LAN (ส่วนตัว), DMZ (ส่วนตัว)) ฉันได้รับมอบหมายให้ตั้งค่าไฟร์วอลล์กลางในเครือข่ายย่อย WAN ที่ตรวจสอบการรับส่งข้อมูลทั้งหมดไปยังโลกภายนอกรวมถึงการรับส่งข้อมูลระหว่างเนื้อหาย่อย

ปัญหาของฉันคือการตรวจสอบปริมาณการใช้งานระหว่าง LAN และ DMZ ฉันได้เชื่อมโยง subnet แต่ละรายการเข้ากับตารางการเราติ้งแล้วนำทราฟฟิกขาออกทั้งหมดไปยังไฟร์วอลล์และใช้งานได้ดี น่าเสียดายที่ AWS ป้องกันไม่ให้ฉันเพิ่มเส้นทางสำหรับการรับส่งข้อมูลระหว่างเครือข่ายย่อย การเพิ่มกฎการกำหนดเส้นทาง 'ภายใน' VMs จะแก้ปัญหาได้เพียงบางส่วนเท่านั้นเนื่องจาก LAN มีอุปกรณ์ที่ไม่อนุญาตการกำหนดค่าประเภทนี้ นอกจากนี้ฉันรู้สึกว่านี่อาจทำให้เกิดปัญหามากขึ้นในระยะยาว ... ฉันคิดว่าการทำ WAN, LAN และ DMZ แต่ละ VPC แทนที่จะเป็นซับเน็ตอาจนำไปสู่การแก้ปัญหา แต่ดูเหมือนว่าฉันผิด VPCs

AWS canoical แก้ปัญหานี้อย่างไร

แก้ไข 1: ฉันกำลังพยายามตั้งค่าเครือข่าย 'สามโซนพร้อมไฟร์วอลล์ส่วนกลาง' แบบคลาสสิก ไฟร์วอลล์ควรตรวจสอบและรักษาความปลอดภัยการรับส่งข้อมูลระหว่างซับเน็ตและแต่ละอินสแตนซ์และจากภายนอก รวมถึง:

  • คอยดูการเชื่อมโยงที่ผิดปกติและรายงานพวกมัน (เช่นวิกิไม่มีธุรกิจใด ๆ ในการเข้าถึงเซิร์ฟเวอร์ hornetq และการเชื่อมต่อใด ๆ ดังกล่าวอาจบ่งบอกว่า VM ของวิกินั้นถูกบุกรุก)
  • อัตราการรับส่งข้อมูลเครือข่าย จำกัด (เช่นเซิร์ฟเวอร์ฐานข้อมูลได้รับอนุญาตให้ส่งอีเมลรายงาน แต่หากเริ่มส่งอีเมลหลายร้อยต่อวินาทีฉันต้องการรับการแจ้งเตือน)
  • ตรวจหา DDO
  • ... เรื่องความปลอดภัยเพิ่มเติม ...

ฉันไม่แน่ใจว่าทั้งหมดนี้สามารถทำได้ด้วยวิธีการดั้งเดิมของ AWS และแนวคิดไฟร์วอลล์กลางรู้สึกเป็นธรรมชาติมากขึ้นสำหรับฉัน

แก้ไข 2: แผนภาพหยาบและเรียบง่ายของการตั้งค่าเครือข่าย

กลุ่มความปลอดภัยเครือข่ายและ ACL อนุญาตให้ฉันแยกซับเน็ตอย่างถูกต้องและควบคุมการเชื่อมต่อระหว่างอินสแตนซ์ แต่ฉันไม่เห็นความเป็นไปได้ที่จะทำสิ่งขั้นสูง (เช่น จำกัด อัตรา ... ) ความคิดของฉันคือการลดทราฟฟิกระหว่างเครือข่ายย่อย LAN / DMZ และใช้การกำหนดค่าเครือข่ายแบบคลาสสิก: กำหนดเส้นทางทราฟฟิกทั้งหมดผ่านไฟร์วอลล์และให้มันตัดสินว่าเกิดอะไรขึ้นกับมัน น่าเสียดายที่ตารางเส้นทางของ VPC ไม่อนุญาตให้ฉันกำหนดเส้นทางการรับส่งข้อมูลทั้งหมดภายใน VPC (หรือซับเน็ตของมัน) ไปยังไฟร์วอลล์กลาง ดังนั้นคำถามคือฉันจะใช้ประโยชน์จาก AWS เพื่อรับปริมาณการใช้งานซับเน็ตของฉันไปยังไฟร์วอลล์ของฉันได้อย่างไรเพื่อให้สามารถทำสิ่งนั้นได้

amazon-web-services  amazon-vpc 
briconaut
แหล่งที่มา
คุณพยายามทำอะไรให้สำเร็จ การตรวจสอบเป็นวิธีการแก้ปัญหา แต่เราไม่ทราบปัญหาที่คุณพยายามแก้ไข
ทิม
ฉันได้แก้ไขโพสต์ของฉันเพื่อตอบคำถามของคุณ
briconaut
ฉันคิดว่าแผนภาพจะอธิบายสิ่งนี้ดีขึ้น จากสิ่งที่ฉันสามารถบอกได้ซึ่งไม่มากคุณกำลังพยายามสกัดกั้นการรับส่งข้อมูลระหว่างสองเครือข่ายที่คุณไม่ได้เป็นส่วนหนึ่งของ ฉันคิดว่าคุณอาจต้องคิดในแง่ของเลเยอร์มากกว่าการรวมศูนย์
ทิม
แก้ไขที่สองเพื่อตอบคำถามของคุณรวมถึงแผนภาพอย่างง่าย
briconaut
หากวิกิพีเดียสามารถเข้าถึงเซิร์ฟเวอร์ hornetq ในขณะนี้แล้วคุณอยู่แล้วมีปัญหา กลุ่มความปลอดภัยอนุญาตการควบคุมการเข้าถึงที่ละเอียดมากดีกว่าในหลาย ๆ วิธีที่แยกจากไฟร์วอลล์ นอกจากนี้เป็นไปไม่ได้ที่จะปลอมแปลง, ปลอมแปลงหรือการรับส่งข้อมูลจากภายในอินสแตนซ์ของ EC2 ที่ถูกบุกรุก - โครงสร้างพื้นฐานเครือข่ายฉลาดกว่าอัตโนมัติ นอกจากนี้บันทึกการไหลของการจราจร VPC ยังสามารถระบุปริมาณการใช้งานที่ไม่คาดคิด VPC ไม่ใช่ LAN และฉันขอแนะนำให้พยายามรักษามันเพราะเป็นการออกกำลังกายที่ไร้ประโยชน์และมีแนวโน้มที่จะแนะนำคอขวดและความล้มเหลวเพียงจุดเดียว
Michael - sqlbot

คำตอบ:

1

ฉันไม่แน่ใจว่าเป็นไปได้ใน AWS มันไม่ได้เป็นแบบนั้น

ฉันคิดว่าคุณจำเป็นต้องละทิ้งความคิดของ "ศูนย์กลาง" นั่นคือสิ่งที่จะรั้งคุณไว้ คิดว่าเลเยอร์ ฉันได้ทำแผนภาพพื้นฐานด้านล่างแล้วมันค่อนข้างหยาบ

อีกสองวิธี:

  • ใช้ระบบป้องกัน / ตรวจจับการบุกรุก (IPS / IDS)
  • ใช้ระบบที่ใช้โฮสต์ที่มีตัวแทนในแต่ละเซิร์ฟเวอร์และการตรวจสอบกลาง การตรวจสอบนี้อาจเป็นบริการบนอินเทอร์เน็ตแทนที่จะเป็น VPC ของคุณ

ป้อนคำอธิบายรูปภาพที่นี่

ทิม
แหล่งที่มา
ยิ่งฉันคิดถึงเรื่องนี้มากเท่าไหร่ฉันก็ยิ่งเห็นด้วยกับการประเมินของคุณมากเท่านั้น มันจะเป็นการยากที่จะขายสิ่งนี้ให้กับฝ่ายบริหารและอาจเป็นตัวแบ่งข้อตกลง WRT AWS
briconaut
จากนั้นบทบาทของคุณที่นี่อาจจะให้ความรู้และมีอิทธิพลมากกว่าที่จะกำหนดหรือตัดสิน มีอีกหลายเรื่องที่ยอดเยี่ยม: ประดิษฐ์วิดีโอที่ให้ข้อมูลที่ยอดเยี่ยมมากมายฉันดูพวกเขาประมาณ 50 คนในการเตรียมตัวสำหรับสถาปนิกมืออาชีพ อันนี้อาจจะเหมาะสม หากพวกเขายังต้องการไฟร์วอลล์รวมศูนย์และอุปกรณ์ตรวจสอบคุณสามารถหาวิธีที่จะทำใน AWS, Azure หรือ Google แต่มันเป็นรูปแบบเก่าสำหรับการปรับใช้แบบเก่า
ทิม
0

AWS ไม่มีไฟร์วอลล์ขั้นสูงคล้ายกับ Palo Alto เป็นต้น แต่พวกเขาได้ใช้การกรองพื้นฐานผ่านกลุ่มความปลอดภัยที่สามารถควบคุมปริมาณการใช้งานทั้งขาเข้าและขาออก ที่นี่คุณสามารถตั้งค่าการกรองตามโปรโตคอล, IP และอื่น ๆ โดยปกติคุณสามารถสร้าง Network ACL ซึ่งสามารถวางไว้ด้านบนของกลุ่มความปลอดภัยเพื่อควบคุมธัญพืชที่ดีกว่าสำหรับการไหลของข้อมูลระหว่างเครือข่ายย่อย

Google: AWS กลุ่มความปลอดภัยกับ ACL เครือข่าย

ดูเหมือนว่าคุณกำลังมองหาการตั้งค่าไฟร์วอลล์ขั้นสูงที่ช่วยให้การไหลของข้อมูลการตรวจสอบแพ็คเก็ต ฯลฯ ในกรณีนี้คุณจะต้องติดตั้งเซิร์ฟเวอร์ไฟร์วอลล์ อย่างน้อยคุณจะต้องมีไฟร์วอลล์ที่อยู่ในเครือข่ายย่อยทั้งสามของคุณ (WAN, LAN, DMZ) ต่อไปนี้เป็นตัวอย่างโดยละเอียดเกี่ยวกับสิ่งที่คุณกำลังมองหา

https://campus.barracuda.com/product/nextgenfirewallf/article/NGF70/AWSRouteTableMutliNIC/

อย่างไรก็ตามฉันขอแนะนำให้ออกแบบโซลูชันที่มีความพร้อมใช้งานสูงซึ่งใช้โซนความพร้อมใช้งานจำนวนมากและตัวโหลดบาลานซ์ มีทางออกมากมายที่ให้สถาปัตยกรรมที่ยืดหยุ่น

Alexander Theodore
แหล่งที่มา
ขอบคุณ แต่นี่คือการกำหนดค่าที่แน่นอนที่ฉันใช้อยู่ตอนนี้ สิ่งนี้ไม่เพียงพอสำหรับผู้บังคับบัญชาของฉันเพราะการรับส่งข้อมูลภายในซับเน็ตไม่ได้ถูกส่งผ่านไฟร์วอลล์ ข้อกังวลคือที่โฮสต์ที่ถูกโจมตีใน DMZ อาจทำให้เกิดความเสียหายจากภายในโดยไม่มีไฟร์วอลล์ที่ป้องกัน LAN เนื่องจากเป็นไปไม่ได้ที่จะกำหนดเส้นทางการรับส่งข้อมูลภายใน VPC ฉันกำลังพิจารณาที่จะวางไฟร์วอลล์ LAN และ DMZ ไว้ใน VPC แยกต่างหาก ฉันคิดว่าวิธีนี้ฉันสามารถกำหนดเส้นทางให้ทำงานในลักษณะที่ต้องการ ทางออกที่น่าเกลียดดังนั้นฉันกำลังมองหาวิธีที่ดีกว่า
briconaut
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.