Rotas da sub-rede VPC da AWS para o firewall central

Question

Rotas da sub-rede VPC da AWS para o firewall central

#1 resposta do (1 votos)
#2 resposta do (0 votos)

0

Temos um pequeno VPC com três sub-redes (WAN (pública), LAN (privada), DMZ (privada)). Tenho a tarefa de configurar um firewall central na sub-rede da WAN, que monitora todo o tráfego tanto para o mundo externo quanto para o tráfego entre os subendimentos.

Meu problema é monitorar o tráfego entre a LAN e a DMZ. Eu associei cada sub-rede a uma tabela de roteamento, direcionando todo o tráfego de saída para o firewall e isso funciona bem. Infelizmente, a AWS me impede de adicionar rotas para o tráfego entre as sub-redes. Adicionar regras de roteamento "dentro" das VMs só resolveria parcialmente o problema, já que a LAN contém dispositivos que não permitem esse tipo de configuração. Eu também acho que isso pode causar mais problemas a longo prazo ... Eu acho que fazer da WAN, LAN e DMZ um VPC em vez de uma sub-rede pode levar a uma solução, mas isso me parece um erro horrível de VPCs.

Qual é a solução canônica da AWS para esse problema?

Editar 1: Estou tentando configurar a rede clássica de 'três zonas mais firewall central'. O firewall deve monitorar e proteger o tráfego entre as sub-redes e as instâncias individuais e também a partir do exterior. Isso inclui:

Fique atento a conexões incomuns e denuncie-as. (ou seja, o wiki não tem nenhum negócio para acessar o servidor hornetq e qualquer conexão pode indicar que a VM do wiki foi comprometida)
Taxa limite de tráfego de rede. (isto é, o servidor de banco de dados pode enviar e-mails de relatórios, mas se ele começar a enviar centenas de e-mails por segundo, eu gostaria de receber um alerta)
Detectar DDOs.
... mais material de segurança ...

Não sei se tudo isso pode ser feito com os métodos nativos da AWS e o conceito de firewall central parece mais natural para mim.

Editar 2: Diagrama bruto e simplificado da configuração da rede

Grupos de segurança de rede e ACLs permitem separar as sub-redes e controlar as conexões entre as instâncias. Mas eu não vejo a possibilidade de fazer coisas avançadas (ou seja, limitar a taxa, ...). Minha idéia é cortar completamente o tráfego entre as sub-redes da LAN / DMZ e usar uma configuração de rede clássica: direcione todo o tráfego pelo firewall e deixe que ele decida o que acontece com ele. Infelizmente, as tabelas de roteamento de uma VPC não permitem que eu direcione todo o tráfego dentro da VPC (ou de uma sub-rede) para um firewall central. Então, a questão é: como posso aproveitar a AWS para obter o tráfego de minhas sub-redes para o meu firewall, para que ele possa fazer o seu trabalho.

amazon-web-services amazon-vpc

por briconaut 28.08.2017 / 17:48

2 respostas

Tags amazon-web-services amazon-vpc

Enxugou um disco rígido do sistema Efi e agora não está inicializando Como um usuário do Office365 aplica uma regra de marca de retenção à sua caixa de correio?

score 1 · Answer 1

Não tenho certeza se é possível na AWS. Não é como normalmente seria feito.

Eu acho que você precisa desistir da idéia de "central", isso é o que está te impedindo. Pense em camadas. Eu fiz um diagrama muito básico abaixo, é muito difícil desculpe.

Algumas outras maneiras:

Use os sistemas de prevenção / detecção de intrusão (IPS / IDS)
Use um sistema baseado em host que possui um agente em cada servidor e monitoramento central. Esse monitoramento pode ser um serviço na internet, e não em seu VPC.

score 0 · Answer 2

A AWS não possui um firewall avançado semelhante ao Palo Alto, etc. Em vez disso, eles implementaram a filtragem básica por meio de grupos de segurança que podem controlar o tráfego de entrada e saída. Aqui você pode configurar a filtragem com base em protocolo, IP, etc. Além disso, você pode criar uma ACL de rede que pode ser sobreposta aos grupos de segurança para um controle de granularidade mais fino para os fluxos de dados entre sub-redes.

Google: grupos de segurança da AWS vs rede ACL

Parece que você está procurando por uma configuração de firewall mais avançada, permitindo a aceleração dos fluxos de dados, inspeção de pacotes etc. Nesse caso, você precisará configurar um servidor de firewall. No mínimo, você precisará de um firewall que fique em suas três sub-redes (WAN, LAN, DMZ). A seguir, um exemplo detalhado do que você está procurando.

link

No entanto, recomendo enfaticamente projetar uma solução altamente disponível que use várias zonas de disponibilidade e balanceadores de carga. Existem muitas soluções que fornecem arquiteturas resilientes.