As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Arquitetura
<a name="architecture"></a>

## Arquitetura de zona perimetral tradicional
<a name="traditional-perimeter-zone-architecture"></a>

Em muitas organizações, os aplicativos voltados para a Internet são “isolados” em uma zona perimetral separada de um ambiente local. Como mostra o diagrama a seguir, o tráfego da aplicação é roteado para a zona perimetral por meio de um firewall, e as aplicações na zona perimetral são separadas de outras aplicações e da rede por outro firewall.

![Arquitetura de zona perimetral tradicional](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/migration-perimeter-zone-apps-network-firewall/images/traditional_perimeter_zone_architecture.png)


## Arquitetura de zona perimetral baseada no Network Firewall
<a name="perimeter-zone-applications-network-firewall"></a>

O diagrama a seguir mostra um exemplo de arquitetura de rede de uma aplicação de zona perimetral na Nuvem AWS:



![Arquitetura de uma aplicação de zona perimetral no Nuvem AWS](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/migration-perimeter-zone-apps-network-firewall/images/perimeter_zone_architecture_network_firewall.png)


No exemplo de arquitetura de rede acima, a aplicação é protegida pelos seguintes mecanismos:
+ Um firewall de aplicativos web da Amazon CloudFront serve como a primeira camada de proteção contra ataques no endpoint do aplicativo.
+ Na sub-rede pública, AWS Network Firewall inspeciona todo o tráfego que é roteado para o endpoint do aplicativo (por meio do Application Load Balancer). Para garantir que todo o tráfego passe pelos endpoints do Network Firewall, é necessário atualizar a tabela de roteamento conforme mostrado no diagrama.

Recomendamos que você direcione todo o tráfego de saída do aplicativo para o AWS Transit Gateway firewall da rede. Isso ajuda a examinar todo o tráfego na conta antes de rotear esse tráfego para a rede protegida.

## Fluxo de dados do tráfego
<a name="traffic-data-flow"></a>

O diagrama a seguir mostra o fluxo de dados do tráfego por meio de uma arquitetura de zona perimetral baseada no Network Firewall:



![Fluxo de dados do tráfego para uma arquitetura de zona perimetral baseada no Network Firewall](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/migration-perimeter-zone-apps-network-firewall/images/traffic_data_flow.png)


O diagrama mostra o seguinte fluxo de trabalho:

1. Os usuários acessam seu aplicativo pela Internet por meio da Amazon CloudFront. Você pode usar o DNS padrão CloudFront ou o DNS suportado pelo [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html).

1. A lógica de roteamento do gateway de Internet encaminha todas as solicitações de entrada destinadas ao Application Load Balancer para o Network Firewall pela interface de rede do firewall por meio da configuração da tabela de roteamento. Isso é ilustrado na **Tabela de rotas IGW** no diagrama da seção [Arquitetura de zona perimetral baseada no Network Firewall](#perimeter-zone-applications-network-firewall) deste guia.

1. O tráfego recebido é bloqueado ou encaminhado com base nas regras do Network Firewall. Também é possível criar regras para enviar alertas. O Firewall de Rede é completamente transparente para o fluxo de tráfego de entrada ou saída e não realiza a tradução de endereços de rede.

1. O tráfego de entrada que passa pelo firewall chega ao Application Load Balancer sem alterações. Quando o Application Load Balancer responde novamente, ele encaminha as solicitações (com base na lógica da tabela de roteamento) para o firewall de rede. Isso é ilustrado no **Endpoint da tabela de rotas A** e no **Endpoint da tabela de rotas B** no diagrama da seção [Arquitetura de zona perimetral baseada no Network Firewall](#perimeter-zone-applications-network-firewall) deste guia.

## Componentes da rede
<a name="network-components"></a>

Recomendamos incluir os seguintes componentes na arquitetura da zona perimetral projetada para a Nuvem AWS:
+ [A Amazon CloudFront e AWS WAF****](https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf.html) — CloudFront trabalha com AWS WAF a Amazon para fornecer proteção distribuída de negação de serviço (DDoS), firewalls de aplicativos web, listas de permissões de IP (se necessário) e entrega de conteúdo. CloudFront deve usar certificados SSL somente para aceitar conexões HTTPS (criptografia em trânsito).
+ [Gateway de Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html): use o gateway da Internet para conectar sua VPC à Internet. Com base nas tabelas de rotas (consulte a **tabela de rotas IGW** no diagrama da seção [Arquitetura de zona de perímetro com base no Firewall de Rede](#perimeter-zone-applications-network-firewall) deste guia), todo o tráfego de entrada destinado à sub-rede do endpoint (ou seja, ao balanceador de carga) é roteado primeiro para o Firewall de Rede por meio de sua interface de rede elástica. Isso é ilustrado por **eni-id-sec1** e **eni-id-sec2** no diagrama da seção [Arquitetura de zona perimetral com base no Firewall de Rede](#perimeter-zone-applications-network-firewall) deste guia.
+ [Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html): o Network Firewall é um firewall com escalonamento automático que fornece recursos de firewall e monitoramento para tráfego de entrada e saída. É possível conectar o Network Firewall à sua VPC por meio do tipo de endpoint Gateway Load Balancer. Coloque os endpoints em uma rede pública para permitir que o tráfego de entrada e saída do gateway da Internet seja roteado para o Network Firewall. Isso é ilustrado em **Segurança da tabela de rotas** no diagrama da seção [Arquitetura de zona perimetral baseada no Network Firewall](#perimeter-zone-applications-network-firewall) deste guia.
+ [Sub-rede de endpoint e Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html): use um Application Load Balancer voltado para a Internet para tornar sua aplicação acessível pela Internet. Você deve ter uma sub-rede protegida que esteja exposta à Internet somente pelo Firewall de Rede. Esse roteamento é definido pelas configurações da tabela de rotas. A tabela de rotas permite somente uma rota com a origem **0.0.0.0/0**, portanto, você deve ter duas tabelas de rotas para cada combinação de sub-rede e interface de rede de firewall. Isso é ilustrado no **Endpoint da tabela de rotas A** e no **Endpoint da tabela de rotas B** no diagrama da seção [Arquitetura de zona perimetral baseada no Network Firewall](#perimeter-zone-applications-network-firewall) deste guia. Para usar a criptografia em trânsito, é necessário habilitar o balanceador de carga com SSL.
+ [Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) de trânsito — Um gateway de trânsito fornece acesso a outras redes, como redes locais ou outras VPCs. Na arquitetura de rede apresentada neste guia, o gateway de trânsito é exposto por meio de uma interface de rede na sub-rede do endpoint. Essa implementação garante que o gateway de trânsito receba tráfego proveniente do aplicativo web (ou seja, da sub-rede privada).
+ [Sub-rede da aplicação](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html): uma sub-rede privada na qual a aplicação é executada em instâncias do Amazon Elastic Compute Cloud (Amazon EC2).
+ [Gateway NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) — O exemplo de arquitetura neste guia não inclui um gateway NAT. Se sua arquitetura de rede exigir um gateway de NAT, recomendamos adicionar um gateway de NAT em cada sub-rede. Nesse caso, também recomendamos que a tabela de rotas do seu aplicativo tenha o destino **0.0.0.0/0** mapeado para a interface de rede do gateway NAT.

## Migrar aplicações de zona perimetral
<a name="migrating-perimeter-zone-applications"></a>

O processo de descoberta é fundamental para o sucesso da sua migração. Ao usar ferramentas de descoberta, como AWS Application Discovery Service, recomendamos que você garanta que as ferramentas possam ser instaladas na sua rede de perímetro e na rede interna. Também recomendamos verificar se é possível capturar corretamente o fluxo de dados. É uma prática recomendada complementar a descoberta automatizada feita por suas ferramentas com um processo de descoberta manual. Por exemplo, como parte do processo de descoberta manual, você pode entrevistar a equipe do aplicativo para obter uma compreensão mais profunda dos requisitos e considerações técnicas do seu aplicativo. O processo manual também pode ajudá-lo a identificar casos de borda que podem impactar o design da aplicação na Nuvem AWS.

Recomendamos identificar o seguinte como parte do processo de descoberta:

1. Dependências de rede entre o cliente na rede não confiável e na rede perimetral

1. Dependências entre a rede perimetral e os componentes da aplicação em uma rede segura

1. Qualquer conexão de terceiros feita diretamente por meio da VPN para a rede segura

1. Qualquer firewall de aplicação Web existente

1. Quaisquer sistemas de detecção de intrusões e sistemas de prevenção de intrusões que estejam em vigor e suas respectivas regras de detecção (sempre que possível)