Маршруты подсети AWS VPC к центральному брандмауэру

559
briconaut

У нас есть небольшой VPC с тремя подсетями (WAN (общедоступная), LAN (частная), DMZ (частная)). Мне поручено настроить центральный межсетевой экран в подсети WAN, который контролирует весь трафик как во внешний мир, так и трафик между абонентами.

Моя проблема - мониторинг трафика между LAN и DMZ. Я связал каждую подсеть с таблицей маршрутизации, направляя весь исходящий трафик на брандмауэр, и это прекрасно работает. К сожалению, AWS не позволяет мне добавлять маршруты для трафика между подсетями. Добавление правил маршрутизации «внутри» виртуальных машин только частично решит проблему, так как LAN содержит устройства, которые не допускают такой конфигурации. Также я чувствую, что это может вызвать больше проблем в долгосрочной перспективе ... Я думаю, что создание WAN, LAN и DMZ каждый VPC вместо подсети может привести к решению, но это кажется мне ужасным заблуждением VPC.

Какое каноническое решение AWS для этой проблемы?

Изменить 1: я пытаюсь настроить классическую сеть «три зоны плюс центральный брандмауэр». Предполагается, что брандмауэр отслеживает и защищает трафик между подсетями и отдельными экземплярами, а также извне. Это включает:

  • Следите за необычными связями и сообщайте о них. (т.е. вики не имеет права доступа к серверу hornetq, и любое такое соединение может указывать на то, что виртуальная машина вики была взломана)
  • Ограничить скорость сетевого трафика. (т. е. серверу базы данных разрешено отправлять отчетные электронные письма, но если он начнет отправлять сотни электронных писем в секунду, я хотел бы получить предупреждение)
  • Обнаружить DDO.
  • ... больше безопасности ...

Я не уверен, что все это можно сделать с помощью нативных методов AWS, и концепция центрального брандмауэра кажется мне более естественной.

Редактировать 2: грубая и упрощенная схема настройки сети

Группы безопасности сети и списки ACL позволяют мне правильно разделять подсети и контролировать соединения между экземплярами. Но я не вижу возможности продвинуться вперед (например, ограничение скорости, ...). Моя идея состоит в том, чтобы полностью сократить трафик между подсетями LAN / DMZ и использовать классическую сетевую конфигурацию: направить весь трафик через брандмауэр и позволить ему решать, что с ним происходит. К сожалению, таблицы маршрутизации VPC не позволяют мне направлять весь трафик внутри VPC (или его подсети) на центральный межсетевой экран. Поэтому вопрос заключается в том, как я могу использовать AWS для передачи трафика из моих подсетей в брандмауэр, чтобы он мог делать свое дело.

0
Чего ты пытаешься достичь? Мониторинг - это решение, но мы не знаем проблему, которую вы пытаетесь решить. Tim 6 лет назад 0
Я отредактировал свой пост, чтобы ответить на ваши вопросы. briconaut 6 лет назад 0
Я думаю, что диаграмма объяснила бы это лучше. Из того, что я могу сказать, что это немного, вы пытаетесь перехватить трафик между двумя сетями, частью которых вы не являетесь. Я думаю, что вам, возможно, нужно думать с точки зрения слоев, а не централизации. Tim 6 лет назад 0
Второе редактирование, чтобы ответить на ваши вопросы, включая простую диаграмму. briconaut 6 лет назад 0
Если вики теперь может получить доступ к серверу hornetq, то у вас * уже * есть проблема. Группы безопасности позволяют очень детальный контроль доступа, лучше во многих отношениях, чем отдельный брандмауэр. Кроме того, невозможно подделать, подделать или перехватить трафик изнутри скомпрометированного экземпляра EC2 - сетевая инфраструктура автоматически умнее этого. Кроме того, журналы потока трафика VPC могут идентифицировать неожиданный трафик. VPC - это не локальная сеть, и я хотел бы предположить, что попытка рассматривать ее как одно из упражнений бесполезно и может привести к появлению узких мест и отдельных точек отказа. Michael - sqlbot 6 лет назад 0
Я должен проверить функцию журналов трафика, это выглядит довольно многообещающе. briconaut 6 лет назад 0
Я также согласен с большей частью вашей оценки, но предотвращение вторжения - это только первый шаг. Мне поручено убедиться, что после того, как это произойдет (не / если / это произойдет), остальная часть VPC будет защищена как можно лучше. Но, скорее всего, как вы указываете, применение этой «классической» архитектуры к VPC - просто неправильный подход. В конце концов, продажа другого дизайна руководству станет настоящей проблемой. briconaut 6 лет назад 0

2 ответа на вопрос

1
Tim

Я не уверен, возможно ли это в AWS. Это не так, как обычно.

Я думаю, что вам нужно отказаться от идеи «центрального», это то, что вас сдерживает. Думай слоями. Я сделал очень простую диаграмму ниже, это довольно грубо, извините.

Пара других способов:

enter image description here

Чем больше я думаю об этом, тем больше склоняюсь к вашей оценке. Продать это руководству будет сложно, и он может даже стать нарушителем условий сделки с AWS. briconaut 6 лет назад 0
Тогда ваша роль, вероятно, заключается в том, чтобы просвещать и влиять, а не диктовать или судить. Есть много отличных видео: изобретать видео, которые дают много полезной информации, я посмотрел около 50 из них, готовящихся к Architect Pro. [Этот] (https://www.youtube.com/watch?v=WUQNeMhkaco) может подойти. Если им по-прежнему нужен централизованный межсетевой экран и устройство мониторинга, вы, вероятно, найдете способ сделать это в AWS, Azure или Google, но это старый шаблон для развертывания старого типа. Tim 6 лет назад 0
0
Alexander Theodore

AWS не имеет расширенного брандмауэра, подобного Пало-Альто, и т. Д. Вместо этого они внедрили базовую фильтрацию через группы безопасности, которые могут контролировать входящий и исходящий трафик. Здесь вы можете настроить фильтрацию на основе протокола, IP и т. Д. Кроме того, вы можете создать сетевой ACL, который может быть наслоен поверх групп безопасности для более точного контроля зерна для ваших потоков данных между подсетями.

Google: группы безопасности AWS против ACL сети

Похоже, вы ищете более продвинутую настройку брандмауэра, позволяющую регулировать потоки данных, проверять пакеты и т. Д. В этом случае вам потребуется настроить сервер брандмауэра. Как минимум вам понадобится межсетевой экран, который находится в трех ваших подсетях (WAN, LAN, DMZ). Ниже приведен подробный пример того, что вы ищете.

https://campus.barracuda.com/product/nextgenfirewallf/article/NGF70/AWSRouteTableMutliNIC/

Однако я настоятельно рекомендую разработать высокодоступное решение, которое использует несколько зон доступности и балансировщиков нагрузки. Существует множество решений, обеспечивающих отказоустойчивую архитектуру.

Спасибо, но именно эту конфигурацию я сейчас использую. Этого недостаточно для моих начальников, потому что трафик внутри подсетей не направляется через брандмауэр. Проблема здесь заключается в том, что скомпрометированный хост в DMZ может привести к повреждению изнутри без брандмауэра, защищающего локальную сеть. Поскольку невозможно направить трафик внутри VPC, я рассматриваю возможность помещения брандмауэра, локальной сети и DMZ в отдельный VPC. Я думаю, что таким образом я смогу заставить маршрутизацию работать желаемым образом. Уродливое решение, поэтому я ищу лучший путь. briconaut 6 лет назад 0

Похожие вопросы