Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Best practice Ti consigliamo le seguenti best practice per eseguire la migrazione delle applicazioni delle zone perimetrali al Cloud AWS. + Progetta l'architettura di destinazione per supportare i firewall di rete di terze parti solo se puoi esporre i firewall alla rete VPC dell'applicazione tramite un Gateway Load Balancer. + Utilizza una rete affidabile per proteggere il flusso di traffico tra il VPC dell' AWS applicazione e l'ambiente locale. Puoi creare una rete affidabile utilizzando [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) o [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html). + Utilizza l'architettura di destinazione per esporre le applicazioni Web a reti non affidabili, ma evita di utilizzarla con un'API. + Utilizza i [Log di flusso VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) durante la fase di test. Questo perché possono esserci più componenti interconnessi che richiedono la configurazione e la verifica corrette. + Convalida le regole in entrata e in uscita richieste per ogni applicazione e la loro disponibilità AWS Network Firewall durante la fase di progettazione della migrazione. + Se è necessario un servizio esterno Servizio AWS come Amazon Simple Storage Service (Amazon S3) o Amazon DynamoDB, consigliamo di esporre tale servizio al VPC dell'applicazione tramite endpoint (all'interno della sottorete dell'endpoint). Ciò impedisce la comunicazione su una rete non affidabile. + Fornisci l'accesso alle risorse (Amazon EC2, in questo caso) tramite [AWS Systems Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html)per evitare l'accesso diretto tramite SSH alle risorse. + L'Application Load Balancer fornisce un'elevata disponibilità all'applicazione e il routing del traffico in entrata e in uscita utilizzando Network Firewall. Non è richiesto alcun sistema di bilanciamento del carico separato per la sottorete di sicurezza. + Tieni presente che Application Load Balancer è un sistema di bilanciamento del carico connesso a Internet, anche se la sottorete dell'endpoint non dispone di accesso diretto a Internet. Non è presente alcun gateway Internet su **Endpoint della tabella di routing A** e **Endpoint della tabella di routing B** nel diagramma della sezione [Architettura delle zone perimetrali basata su Network Firewall](architecture.md#perimeter-zone-applications-network-firewall) di questa guida. La sottorete è protetta da Network Firewall e dispone di accesso a Internet tramite Network Firewall. + Utilizza Network Firewall per fornire filtri Web in entrata e in uscita per il traffico Web non crittografato.