Conception de réseau robuste avec AWS Control Tower

Amazon Web Services (contributeurs)

Septembre 2024 (historique du document)

La sécurité joue un rôle crucial pour toute organisation. L'un des facteurs clés de la sécurité des applications est la mise en réseau. Une faille dans le réseau peut offrir aux cybercriminels diverses options pour compromettre les applications et prendre le contrôle des systèmes. Ce guide définit certaines des meilleures pratiques à utiliser AWS Control Tower pour concevoir un réseau au AWS Organizations niveau. L'objectif de la conception du réseau est de faciliter la gestion, d'améliorer la sécurité et de protéger les applications hébergées sur le AWS Cloud. Pour atteindre cet objectif, la conception du réseau inclut l'inspection, le filtrage et l'enregistrement du trafic entrant et sortant vers Internet à partir d'un seul compte réseau centralisé. AWS

L'approche couverte utilise un compte réseau centralisé avec trois clouds privés virtuels (VPCs). Le trafic entrant et sortant en provenance de Spoke VPCs et d'Internet est filtré par AWS WAF et. AWS Network Firewall AWS Transit Gateway et les points de terminaison VPC aident à acheminer le trafic.

Prérequis

Compte réseau centralisé

Lorsque vous gérez l'ensemble du réseau d'une organisation, nous vous recommandons de disposer d'un compte distinct dédié à la gestion des composants ou des services réseau. Tout d'abord, l'équipe réseau demande la création d'un compte (réseau) pour gérer les services réseau. Après avoir créé le nouveau compte, notez le numéro de compte. Modifiez ensuite le contrôle du gestionnaire d'adresses IP (IPAM) d'Amazon Virtual Private Cloud (Amazon VPC) du compte de AWS Control Tower gestion au compte réseau en fournissant les détails du compte dans IPAM.

Le compte nouvellement créé sera votre compte réseau centralisé, qui gérera les services réseau suivants :