Das AWS VPC-Subnetz wird zur zentralen Firewall geleitet

633
briconaut

Wir haben eine kleine VPC mit drei Subnetzen (WAN (öffentlich), LAN (privat), DMZ (privat)). Ich habe die Aufgabe, eine zentrale Firewall im WAN-Subnetz einzurichten, die den gesamten Verkehr sowohl nach außen als auch den Verkehr zwischen den Subents überwacht.

Mein Problem ist die Überwachung des Datenverkehrs zwischen LAN und DMZ. Ich habe jedes Subnetz mit einer Routing-Tabelle verknüpft, die den gesamten ausgehenden Datenverkehr zur Firewall leitet, und dies funktioniert problemlos. Leider verhindert AWS, dass ich Routen für den Datenverkehr zwischen den Subnetzen hinzufügen kann. Das Hinzufügen von Routing-Regeln innerhalb der VMs würde das Problem nur teilweise lösen, da LAN Geräte enthält, die diese Art der Konfiguration nicht zulassen. Ich denke auch, dass dies auf lange Sicht mehr Probleme verursachen könnte. Ich denke, wenn man WAN, LAN und DMZ zu einem VPC statt zu einem Subnetz macht, könnte dies zu einer Lösung führen, aber das scheint mir ein schrecklicher Missbrauch von VPCs.

Was ist die kanoische AWS-Lösung für dieses Problem?

Edit 1: Ich versuche, das klassische Netzwerk mit drei Zonen und zentraler Firewall einzurichten. Die Firewall soll den Verkehr zwischen den Subnetzen und den einzelnen Instanzen sowie von außen überwachen und sichern. Das beinhaltet:

  • Achten Sie auf ungewöhnliche Verbindungen und melden Sie sie. (dh das Wiki hat kein Geschäft, um auf den Hornetq-Server zuzugreifen, und eine solche Verbindung könnte darauf hinweisen, dass die Wiki-VM angegriffen wurde.)
  • Ratenbeschränkung des Netzwerkverkehrs. (dh der Datenbankserver darf Berichts-E-Mails senden. Wenn er jedoch Hunderte von E-Mails pro Sekunde sendet, würde ich gerne eine Benachrichtigung erhalten.)
  • DDOs erkennen.
  • ... mehr Sicherheitsmaterial ...

Ich bin nicht sicher, ob all dies mit den nativen Methoden von AWS möglich ist, und das zentrale Firewall-Konzept fühlt sich für mich natürlicher an.

Edit 2: Rohes und vereinfachtes Diagramm der Netzwerkeinrichtung

Netzwerksicherheitsgruppen und ACLs ermöglichen es mir, die Subnetze richtig zu trennen und die Verbindungen zwischen den Instanzen zu steuern. Ich sehe jedoch keine Möglichkeit für Fortgeschrittene (z. B. Ratenbegrenzung, ...). Meine Idee ist es, den Verkehr zwischen LAN / DMZ-Subnetzen vollständig zu reduzieren und eine klassische Netzwerkkonfiguration zu verwenden: Leiten Sie den gesamten Verkehr über die Firewall und lassen Sie ihn entscheiden, was mit ihm passiert. Leider erlauben mir die Routingtabellen einer VPC nicht, den gesamten Verkehr innerhalb der VPC (oder eines Teilnetzes davon) zu einer zentralen Firewall zu routen. Die Frage ist also: Wie kann ich AWS nutzen, um den Datenverkehr meiner Subnetze zu meiner Firewall zu leiten, damit er seine Sache erledigen kann.

0
Was willst du erreichen? Überwachung ist eine Lösung, aber wir wissen nicht, welches Problem Sie lösen möchten. Tim vor 6 Jahren 0
Ich habe meinen Beitrag bearbeitet, um Ihre Fragen zu beantworten. briconaut vor 6 Jahren 0
Ich denke, ein Diagramm würde das besser erklären. Nach allem, was ich sagen kann, was nicht viel ist, versuchen Sie, den Verkehr zwischen zwei Netzwerken abzufangen, an denen Sie nicht beteiligt sind. Ich denke, Sie müssen eher in Schichten denken als in Zentralisierung. Tim vor 6 Jahren 0
Zweite Bearbeitung, um Ihre Fragen zu beantworten, einschließlich eines einfachen Diagramms. briconaut vor 6 Jahren 0
Wenn das Wiki jetzt auf den Hornetq-Server zugreifen kann, haben Sie * bereits * ein Problem. Sicherheitsgruppen ermöglichen eine sehr differenzierte Zugriffssteuerung, die in vielerlei Hinsicht besser ist als eine separate Firewall. Darüber hinaus ist es unmöglich, den Verkehr innerhalb einer gefährdeten EC2-Instanz zu fälschen, zu fälschen oder zu schnüffeln - die Netzwerkinfrastruktur ist automatisch intelligenter. VPC-Verkehrsflussprotokolle können auch unerwarteten Datenverkehr erkennen. VPC ist kein LAN, und ich würde vorschlagen, es als eine sinnlose Übung zu behandeln, die Engpässe und einzelne Fehlerquellen auslöst. Michael - sqlbot vor 6 Jahren 0
Ich muss die Verkehrsflussprotokolle prüfen, es sieht vielversprechend aus. briconaut vor 6 Jahren 0
Ich stimme auch den meisten anderen Bewertungen zu, aber ein Eindringen zu verhindern ist nur der erste Schritt. Ich habe die Aufgabe, sicherzustellen, dass danach (nicht / wenn / das geschieht) der Rest der VPC so gut wie möglich geschützt wird. Wie Sie jedoch sagen, ist die Anwendung dieser "klassischen" Architektur auf eine VPC höchstwahrscheinlich der falsche Ansatz. Am Ende wird der Verkauf eines anderen Designs an das Management die eigentliche Herausforderung sein. briconaut vor 6 Jahren 0

2 Antworten auf die Frage

1
Tim

Ich bin mir nicht sicher, ob es in AWS möglich ist. Es ist nicht so, wie es normalerweise gemacht würde.

Ich denke, Sie müssen die Idee von "zentral" aufgeben, das hält Sie zurück. Schichten denken. Ich habe unten ein sehr einfaches Diagramm erstellt, es ist ziemlich grob.

Ein paar andere Möglichkeiten:

Je mehr ich darüber nachdenke, desto eher stimme ich Ihrer Einschätzung zu. Es wird schwierig sein, dies an das Management zu verkaufen, und es könnte sogar ein Dealbreaker für AWS sein. briconaut vor 6 Jahren 0
Dann besteht Ihre Rolle wahrscheinlich darin, zu erziehen und zu beeinflussen, anstatt zu diktieren oder zu urteilen. Es gibt viele großartige Neuerfindungsvideos, die viele großartige Informationen liefern. Ich habe etwa 50 davon gesehen, die sich auf Architekt Pro vorbereiten. [Dieses] (https://www.youtube.com/watch?v=WUQNeMhkaco) könnte geeignet sein. Wenn immer noch eine zentrale Firewall und ein Überwachungsgerät gewünscht werden, finden Sie wahrscheinlich einen Weg, dies in AWS, Azure oder Google zu tun. Dies ist jedoch ein altes Muster für einen alten Bereitstellungstyp. Tim vor 6 Jahren 0
0
Alexander Theodore

AWS verfügt nicht über eine erweiterte Firewall, die einem Palo Alto ähnelt. Stattdessen wurde eine grundlegende Filterung über Sicherheitsgruppen implementiert, die den ein- und ausgehenden Datenverkehr steuern können. Hier können Sie eine Filterung basierend auf Protokoll, IP usw. einrichten. Zusätzlich können Sie eine Netzwerk-ACL erstellen, die auf Sicherheitsgruppen aufgeschichtet werden kann, um die Steuerung Ihrer Datenflüsse zwischen den Subnetzen zu optimieren.

Google: AWS-Sicherheitsgruppen vs. Netzwerk-ACL

Es klingt so, als würden Sie nach einer fortschrittlicheren Firewall-Einrichtung suchen, die eine Einschränkung des Datenflusses, eine Paketprüfung usw. ermöglicht. In diesem Fall müssen Sie einen Firewall-Server einrichten. Sie benötigen mindestens eine Firewall, die sich in Ihren drei Subnetzen (WAN, LAN, DMZ) befindet. Im Folgenden finden Sie ein detailliertes Beispiel dafür, wonach Sie suchen.

https://campus.barracuda.com/product/nextgenfirewallf/article/NGF70/AWSRouteTableMutliNIC/

Ich würde jedoch dringend empfehlen, eine hochverfügbare Lösung zu entwerfen, die mehrere Verfügbarkeitszonen und Lastverteiler verwendet. Es gibt viele Lösungen, die belastbare Architekturen bieten.

Danke, aber genau diese Konfiguration verwende ich gerade. Dies reicht meinen Vorgesetzten nicht aus, da der Verkehr in den Subnetzen nicht durch die Firewall geleitet wird. Die Sorge hier ist, dass ein gefährdeter Host in der DMZ von innen her Schaden anrichten kann, ohne dass eine Firewall das LAN schützt. Da es nicht möglich ist, den Verkehr innerhalb der VPC zu routen, erwäge ich, die Firewall, das LAN und die DMZ jeweils in eine separate VPC zu stellen. Ich denke, so kann ich das Routing in der gewünschten Weise zum Laufen bringen. Eine hässliche Lösung, deshalb suche ich nach einem besseren Weg. briconaut vor 6 Jahren 0

Verwandte Probleme