AWS Network Firewall
AWS Network Firewall 是一项托管式防火墙服务,可为 Amazon Virtual Private Cloud(VPC)环境提供核心网络防护。AWSNetwork Firewall 充当作为第一道防线,可对传入和传出 RISE 资源的所有网络流量进行筛选和检测,为 RISE 环境构建有效的防护边界。
AWS Network Firewall 的主要功能包括:
-
有状态防火墙功能。AWSNetwork Firewall 提供高级有状态防火墙功能来监控和控制网络流量。此功能可检测网络连接的完整上下文(包括源、目标、端口和协议),以检测并阻止恶意或未经授权的流量。
-
威胁特征匹配。AWSNetwork Firewall 预加载了一组全面的威胁检测规则和特征,并由 AWS 持续更新,可识别并缓解针对 RISE 部署的已知威胁、恶意软件及其他恶意活动。
-
自定义规则定义。除了预定义的威胁特征外,客户还可创建并部署自定义防火墙规则,以符合 RISE 环境中 SAP 系统相关连接所特有的特定安全要求或策略。
-
集中式策略管理。AWSNetwork Firewall 支持集中定义和管理防火墙策略,这些策略随后可轻松部署到多个 VPC(包括非 SAP VPC 以及与由 SAP 管理的 RISE VPC 关联的 VPC),确保实施一致的安全性。
-
可扩展性与高可用性。作为一项完全托管式服务,AWS Network Firewall 可自动扩展以应对网络流量和模式的变化,确保 RISE 环境持续获得防护,无需执行复杂的基础设施管理操作。
在 RISE with SAP 环境中,AWS Network Firewall 可用于实现以下目的:
-
集中式防火墙管理。AWSNetwork Firewall 提供了一项集中式托管防火墙服务,以便控制并监控传入和传出由 SAP 管理的 RISE VPC 的网络流量。
-
有状态数据包检测。AWSNetwork Firewall 可执行有状态数据包检测,通过分析 RISE VPC 内 SAP 系统的双向网络连接环境来检测和缓解高级威胁。
-
监管合规。AWSNetwork Firewall 通过强制执行安全策略并为 RISE with SAP 环境提供日志记录/审计功能,帮助组织满足合规要求。
以下是 AWS Network Firewall 在网络流量到达 RISE with SAP 之前对其进行检测的示例架构
在上图中
-
恶意行为者利用网络配置错误来获取对 RISE 上的 SAP 系统的访问权限。
-
流量首先通过 AWS Transit Gateway 进行路由。
-
AWS Network Firewall 执行数据包检测来捕获异常连接尝试。
值得注意的是,对于希望通过 AWS Direct Connect 连接至 AWS Transit Gateway 来使用 AWS 托管的 SAP BTP 服务的客户,AWS Network Firewall 同样适用,从而确保其端到端通信始终在 AWS 骨干网络上进行。
有关配置 AWS Network Firewall 的说明,请参阅 AWS Network Firewall 入门。
