As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Práticas recomendadas Sugerimos seguir estas práticas recomendadas para migrar suas aplicações da zona perimetral para a Nuvem AWS: + Projete sua arquitetura de destino para oferecer suporte a firewalls de rede de terceiros, mas somente se for possível expor os firewalls à rede da VPC da aplicação por meio de um Gateway Load Balancer. + Use uma rede confiável para proteger o fluxo de tráfego entre a VPC do seu AWS aplicativo e seu ambiente local. É possível criar uma rede confiável usando o [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) ou o [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html). + Use sua arquitetura de destino para expor aplicações Web a redes não confiáveis, mas evite usá-la com uma API. + Use [Logs de fluxo da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) durante a fase de testes. Isso ocorre porque pode haver vários componentes interconectados que exigem a configuração e a verificação corretas. + Valide as regras de entrada e saída necessárias para cada aplicativo e sua disponibilidade AWS Network Firewall durante a fase de design da migração. + Se um serviço externo AWS service (Serviço da AWS) , como o Amazon Simple Storage Service (Amazon S3) ou o Amazon DynamoDB, for necessário, recomendamos expor esse serviço à VPC do aplicativo por meio de endpoints (dentro da sub-rede do endpoint). Isso impede a comunicação pela rede não confiável. + Forneça acesso aos recursos (Amazon EC2, neste caso) [AWS Systems Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html)para evitar o acesso direto por SSH aos recursos. + O Application Load Balancer fornece alta disponibilidade à aplicação e permite o roteamento do tráfego de entrada e saída usando o Network Firewall. Não é necessário um balanceador de carga separado para a sub-rede de segurança. + Lembre-se de que o Application Load Balancer é um balanceador de carga voltado para a Internet, mesmo que a sub-rede do endpoint não tenha acesso direto à Internet. Não há gateway da Internet no **Endpoint da tabela de rotas A** e no **Endpoint da tabela de rotas B** no diagrama da seção [Arquitetura de zona perimetral baseada no Network Firewall](architecture.md#perimeter-zone-applications-network-firewall) deste guia. A sub-rede é protegida pelo Network Firewall e tem acesso à Internet por meio dele. + Use o Network Firewall para fornecer filtragem de entrada e saída da Web para tráfego da Web não criptografado.