Design de rede robusto com o AWS Control Tower

Amazon Web Services (colaboradores)

Setembro de 2024 (histórico do documento)

A segurança desempenha um papel crucial para qualquer organização. Um dos principais fatores da segurança de aplicações é a rede. Uma falha na rede pode gerar várias oportunidades para que os criminosos cibernéticos comprometam aplicações e assumam o controle dos sistemas. Este guia define algumas das práticas recomendadas de uso do AWS Control Tower para projetar uma rede no nível do AWS Organizations. O objetivo do projeto de rede é facilitar o gerenciamento, melhorar a segurança e oferecer proteção para as aplicações hospedadas na Nuvem AWS. Para ajudar a atender a esse objetivo, o design de rede que inclui inspeção, filtragem e registro em log do tráfego que entra e sai da internet de uma única conta de rede centralizada na AWS.

A abordagem adotada usa uma conta de rede centralizada com três nuvens privadas virtuais (VPCs). O tráfego de entrada e saída das VPCs spoke e da internet é filtrado pelo AWS WAF e AWS Network Firewall. O AWS Transit Gateway e os endpoints da VPC ajudam a rotear o tráfego.

Pré-requisitos

Conta de rede centralizada

Ao gerenciar toda a rede de uma organização, recomendamos ter uma conta separada dedicada ao gerenciamento de componentes ou serviços de rede. Primeiro, a equipe de rede solicita a criação de uma conta (rede) para gerenciar serviços de rede. Depois de criar a nova conta, anote o número dela. Em seguida, altere o controle do Gerenciador de endereços IP (IPAM) da Amazon Virtual Private Cloud (Amazon VPC) da conta gerencial da AWS Control Tower para a conta de rede fornecendo os detalhes da conta no IPAM.

A conta recém-criada será sua conta de rede centralizada, que gerenciará os seguintes serviços de rede: