关键要点 在这篇文章中,我们讨论了AWS Cloud WAN服务插入的新功能,能够通过中心政策文件无缝插入AWS及第三方网络和安全服务。通过此功能,用户可以轻松指导VPC间或VPC到本地数据中心的流量,便于安全检查。
更新日期:2024年6月28日 – 对于图5及后续数据包走查做了修正。
是一项托管的广域网 (WAN) 服务,帮助客户构建和运营连接数据中心、分支机构以及 Amazon Virtual Private Cloud (Amazon VPC) VPCs 的广域网络。你可以使用网络政策集中配置和自动化管理网络及安全任务,并获取全球网络的完整视图。自从服务 以来,越来越多的客户意识到AWS CloudWAN在创建全球网络和促进资源连接方面的能力。但伴随连接性需求而来的是对使用AWS原生或第三方防火墙进行安全检查功能的需求。客户越来越希望能检查和保护他们的网络,因此开始寻求设计安全全球网络的指导。为帮助客户学习,我们已经发布了几篇有关如何使用AWSCloud WAN架构安全全球网络的 。
虽然现有的检查架构模式提供了许多好处,但客户在大规模实施AWS Cloud WAN时也面临挑战:
在这篇博文中,我们将介绍AWS Cloud WAN 服务插入(服务插入),这是一个新功能,可以使用中心政策文档在AWS CloudWAN上插入AWS及第三方网络和安全服务,从而提供更高的操作简便性。通过此功能,你可以轻松地通过定义简单的政策语句或使用AWS管理控制台,指导VPC到VPC、互联网出口和混合环境的流量通过网络或安全设备。该功能还支持基于政策的流量引导到AWS服务,如 和 ,这些服务在检查VPC中进行了东西向和南北向的安全检查,允许将安全基础设施与其余的AWS Cloud WAN部署无缝集成。
客户使用AWS CloudWAN部署集中式安全架构,以整合安全资源、减少管理负担并节省安全基础设施成本。安全检查功能可以包括保护东西向(VPC到VPC)、南北向(互联网出口)或混合环境。
本文假设你熟悉以下 :全球网络、核心网络、核心网络政策、附件、核心网络边缘和网络段。
除了上述概念外,了解AWS Cloud WAN 服务插入功能中新组件网络功能组(NFG)也很重要。
NFG 本质上是一个单段,集合了指向特殊网络或安全功能(如 NAT、防火墙(AWS网络防火墙或网关负载均衡器或第三方服务)、入侵检测和防御系统以及数据泄露防御等)的核心网络附件,这些服务都是作为全球AWS CloudWAN网络的一部分而部署。
NFG 允许你通过部署在VPC或连接到AWS CloudWAN的本地网络中的网络功能,自动引导同段或跨段流量。你可以指定一个包含核心网络附件(VPC、站点到站点(VPN)、连接或传输网关路由表)的 NFG,其中包含你希望流量重新定向到网络功能的段或段对。AWS Cloud WAN将自动通过相应的核心网络附件在段间重定向网络流量,该重定向适用于同一区域(区域内)和跨区域(区域间)的流量。你可以使用 AWS Cloud WAN 指定主要配置项,如下:
理解Cloud WAN网络段和NFG之间的关键区别也很重要。
| 核心网络段 | 核心网络功能组 |
|---|---|
| 段是隔离的路由域,你可以为其关联附件,同时对段内和跨段的路由拥有完全控制权。例如,你可以在段内添加或删除路由,或者在段之间共享路由。 | NFG拥有自己的路由表,这些路由将根据政策文档中的服务插入配置自动传播(带有下一跳重定向)。虽然你可以全面查看这些路由,但你无法在NFG内添加、删除或共享路由。 |
| 当你将附件与Cloud WAN段关联时,VPC CIDR(或动态路由)将传播到相应的段路由表中。 | 当你将附件与NFG关联时,VPC CIDR(或动态路由)不会传播到NFG路由表中。 |
要引导流量,NFG引入了以下 :
详细学习这些概念,请查看 。
删除)
在这一部分,我们聚焦以下三个场景:
以下图示 (图2) 显示了场景1,我们可能需要允许同一区域内不
同段的附件互相通信,但仅通过检查设备。例如,当你的开发团队必须将工程变更推送到生产环境时。Prod VPC(10.1.0.0/16)和DevVPC(10.11.0.0/16)位于同一区域(区域1),但关联到Prod和Dev段。检查VPC 1(100.64.1.0/24)也在同一区域。
删除)
接下来,我们将演示如何在Prod VPC 1到Dev VPC 1的流量路径中插入NFG的步骤。
步骤1: 使用下面的示例政策创建一个InspectionNFG网络功能组:
`json "network-function-groups":,将Inspection VPC1的附加项关联到InspectionNFG网络功能组:
`json "attachment-policies": 将网络功能即Inspection VPC 1插入流量路径之前,确保Inspection VPC 1的附件已创建并与InspectionNFG关联。你可以使用以下示例AWS CLI创建附件:
bash aws networkmanager create-vpc-attachment \ --core-network-id "<core- network-id>" \ --vpc-arn "<vpc-arn>" \ --subnet-arns "<subnet1-arn>" "<subnet2-arn>" \ --tags Key=stage,Value=InspectionNFG
步骤4: 在创建并关联Inspection VPC 1附件与Inspection NFG后,使用下面的示例 ,将InspectionNFG网络功能组插入到跨段流量中:
json "segment-actions":[ { "action":"send-via", "segment":"prod", "mode":"single-hop", "when-sent-to":{ "segments":"*" }, "via":{ "network- function-groups":[ "InspectionNFG" ] } } ]
请注意在 "when-sent-to" 下,"segments": "" 表示所有段,意味着在Prod与任何其他段之间发送的流量(例如,Dev、Test、Stage、QA等)。一个“ ”还将为孤立段提供区域内服务插入。
一旦在流量路径中插入了Inspection VPC1网络功能,Prod与Dev段(或在核心网络中存在的任何其他段)之间的所有跨段流量将通过关联标签键为stage和标签值为InspectionNFG的核心网络附加项顺畅地引导到InspectionVPC 1的防火墙中(见图3)。AWS Cloud WAN将会:
删除)
当Prod VPC 1中的资源与同一区域的Dev VPC 1中的资源通信时,以下步骤示范了一次数据包走查:
返回流量按相反方向遵循相同的路径。
接下来的图示(图4)展示了场景2。场景2与场景1类似,但Prod和Dev VPC位于不同区域。Prod VPC1(10.1.0.0/16)位于区域1并关联到Prod段,而Dev VPC 2(172.25.0.0/16)位于区域2并关联到Dev段。
除了需要检查不同段中附件的流量外,你可能还需要将每个AWS区域视为一个独立的受保护环境。为此,每个区域都有自己的检查VPC,区域1的检查VPC1(100.64.1.0/24)和区域2的检查VPC2(100.64.2.0/24)。类似于场景1(步骤1-3),我们创建一个InspectionNFG网络功能组,并将两个检查VPC关联到此InspectionNFG。
删除)
通过下述的 双重跳模式,你可以将InspectionNFG插入到跨区域、跨段的流量路径中。这可以使得流量引导到每个区域的检查VPC:
json "segment-actions":[ { "action":"send-via", "segment":"prod", "mode":"dual-hop", "when-sent-to":{ "segments":"*" }, "via":{ "network- function-groups":[ "InspectionNFG" ] } } ]
在你将Inspection VPC 1和Inspection VPC2网络功能插入到流量路径后,Prod和Dev段(或任何在核心网络中存在的其他段)之间的所有跨段流量将自动引导至具有标签键为stage和标签值为
InspectionNFG 的核心网络附加项,并通过Inspection VPC 1和Inspection VPC2的防火墙(分别)进行处理。如图5所示。
删除)
以下步骤展示了Prod VPC 1
Leave a Reply