在 AWS Outposts 机架上实施网络流量检查 计算博客

AWS Outposts机架上实施网络流量检测

by Macey Neff 于2024年5月31日发布，来源于 Amazon EC2、AWS Outposts、AWS Transit Gateway和Compute永久链接 分享

重点摘要

在AWS Outposts机架上实施网络流量检测是确保本地环境安全和合规性的关键。通过部署AWS合作伙伴的解决方案，您可以利用其专业能力，获得关于网络流量模式的洞察，识别和缓解潜在威胁，并确保符合行业特定的法规标准。本文展示了如何在Outposts机架上部署防火墙设备，以实施本地到虚拟私有云VPC和VPC到VPC的流量检测。

网络流量检测在 AWS Outposts机架 上，是确保本地环境安全和合规的重要方面。通过实施网络流量检测，您可以监控Outposts机架环境中进出数据，主动发现和缓解潜在的威胁。

通过在Outposts机架上部署AWS合作伙伴解决方案，您可以利用他们的专业知识和技术能力，深入了解网络流量模式，识别威胁并确保遵循行业法规。这些解决方案包括先进的网络流量检测能力，例如深度包检测、入侵检测和防御、应用层防火墙以及高级威胁检测等。

本文呈现了一个在Outposts机架上部署防火墙设备的架构示例，以实施本地到虚拟私有云VPC与VPC之间的流量检测。

架构

以下图示所示的示例流量检测架构是根据常见的Outposts机架部署模式构建的。

在这个示例中，Outpost机架将被部署在本地，以支持：

为IT和OT部门的实例创建了各自的VPC和子网见图中的1和2。

组织安全政策要求流往Outposts及其站点之间，以及Outposts上的VPC之间的流量必须经过检查、控制并记录，使用集中式防火墙进行管理。

在 AWS Region 中，可以利用 AWS Transit Gateways (TGW) 或 Gateway Load Balancers (GWLB)等路由服务构建集中式流量检测架构以路由流量到中心防火墙，但这些服务在Outposts上并不可用。

在Outposts上，一些用户使用 Local Gateway (LGW) 来实现分布式流量检测架构，防火墙在每个VPC中部署，但这可能会导致操作复杂和成本高昂。

在这篇文章中，您将了解如何使用最近引入的功能MultiVPC Elastic Network Interface (ENI) Attachments在Outposts上创建集中式流量检测架构。使用MultiVPC ENI Attachments，您可以将ENI附加到已在不同VPC和子网中创建的 Amazon Elastic Compute Cloud (EC2) 实例。即使是从其他AWS帐户通过 AWS Resource Access Manager 共享的子网中创建的ENI，也可以使用此功能进行附加。

具体来说，您可以在IT和OT子网中创建ENI，并与集中式防火墙共享见图中的3和4。

出于减少集中式防火墙攻击面并实现隔离的最佳实践，示例中还包括为防火墙实例创建一个单独的VPC和子网见图中的5。

为了保护流往IT、OT及防火墙的VPC与本地网络之间的流量，还创建了另一个“暴露” VPC、子网见图中的6和ENI见图中的7。这是唯一与Outposts Local Gateway (LGW) 相关联并“暴露”于本地网络的资源。

在这个示例中，流量通过指向防火墙ENI见图中的8和9的默认路由从IT和OT VPC中路由。防火墙可以根据策略通过其直接连接的接口将流量路由回IT和OT VPC。

防火墙使用指向与暴露的ENI相关联的网关的路由192168300/24或默认路由例：eni11，1721621 见图中的10。

为了完成IT、OT和防火墙VPC与本地网络之间的路由，在LGW路由表中添加指向防火墙的暴露ENI的静态路由见图中的11。

一旦这些静态路由被插入，Outposts入站路由功能将触发路由通过BGP宣传到本地三层交换机。

同样，来自本地三层交换机也会通过BGP向LGW宣传路由见图中的12192168300/24或默认路由，完成本地网络与IT和OT VPC之间的端到端路由。

以下图示展示了本地OT设备与OT服务器之间的报文流向，以及OT与IT实例之间的流向，两个流都通过防火墙进行检查：

在AWS Outposts机架上的实施

以下实施细节对我们的示例流量检测架构至关重要。

前提条件

实施之前，需要满足以下前提条件：

防火墙选择和规模

虽然在这篇文章中，仅部署并配置一个基本的Linux实例作为防火墙，但在 AWS市场的网络安全部分，您可以找到多种高级、强大且易管理的AWS合作伙伴解决方案，执行深度包检测。

大多数网络安全市场的产品都会提供关于支持能力、期望性能和特定设备实例大小的定价指南。

防火墙实例选择

目前，Outpost机架可以配置M5、C5、R5和G4dn家族的EC2实例。用户可以根据需求选择Outpost上可用的实例的大小和数量。

在选择作为集中式防火墙的EC2实例时，重要的是考虑以下因素：

例如，在评估合作伙伴建议后，您可能确定实例大小为c5large、r5large或更大可以提供所需的性能。

接下来，您可以使用以下 AWS命令行接口AWS CLI 命令识别在Outpost上配置的EC2实例：

shellOutposts getoutpostinstancetypes outpostid opabcdefgh123456789

该命令的输出将列出在您的Outpost上配置的实例类型和大小：

shellInstanceTypes InstanceType c5xlarge InstanceType c54xlarge InstanceType r52xlarge InstanceType r54xlarge

通过了解在您的Outpost上安装的实例类型和大小，您现在可以确定这些实例是否可用。以下AWS CLI命令每个实例类型各一个将列出可用于使用的每种实例类型和大小的数量。例如：

shellaws cloudwatch getmetricstatistics namespace AWS/Outposts metricname AvailableInstanceTypeCount statistics Average period 3600 starttime (date u Iminutes d 1hour) endtime (date u Iminutes) dimensions Name=OutpostIdValue=opabcdefgh123456789 Name=InstanceTypeValue=c5xlarge

此命令返回：

shellDatapoints Average 20Timestamp 20240410T1039000000Unit CountLabel AvailableInstanceTypeCount

输出表明，在指定的时间段1小时内，该Outpost上平均有两个可用的c5xlarge实例。其他实例类型的同样步骤也表明c54xlarge、r52xlarge各有两个，而r54xlarge则没有可用。

接下来，考虑要连接到防火墙的VPC数量，确定可用的实例是否支持所需数量的ENI。

防火墙需要在其自己的VPC、暴露的VPC中以及每个额外的VPC中各有一个ENI。在本例中，由于IT和OT各有一个VPC，您需要一个总共支持四个接口的EC2实例。

要确定每个可用实例类型和大小支持的接口数量，可以使用AWS CLI：

shellaws ec2 describeinstancetypes instancetypes c5xlarge c54xlarge r52xlarge query InstanceTypes[][InstanceTypeNetworkInfoNetworkCards]

这将返回：

shell r52xlarge BaselineBandwidthInGbps 25 MaximumNetworkInterfaces 4 NetworkCardIndex 0 NetworkPerformance Up to 10 Gigabit PeakBandwidthInGbps 100 c5xlarge BaselineBandwidthInGbps 125 MaximumNetworkInterfaces 4 NetworkCardIndex 0 NetworkPerformance Up to 10 Gigabit PeakBandwidthInGbps 100 c54xlarge BaselineBandwidthInGbps 50 MaximumNetworkInterfaces 8 NetworkCardIndex 0 NetworkPerformance Up to 10 Gigabit PeakBandwidthInGbps 100

输出表明，三种可用的EC2实例r52xlarge、c5xlarge和c54xlarge都可以支持四个网络接口。输出还表明，例如c54xlarge实例支持最多8个网络接口和10Gb/s的最大带宽。这可以帮助您规划未来网络需求的增长。

将远程ENI附加到防火墙实例

在防火墙实例部署在防火墙VPC中后，下一步是将之前在暴露子网、OT和IT子网中创建的远程ENI附加到防火墙实例。使用防火墙实例ID和每个远程ENI的网络接口ID，您可以创建MultiVPC附加ENI，以将防火墙连接到其他VPC。每个附加的接口需要一个设备索引，必须大于“0”，这是主实例接口。

例如，要连接暴露VPC的ENI：

shellaws ec2 attachnetworkinterface deviceindex 1 instanceid i0e47e6eb9873d1234 networkinterfaceid eni012a3b4cd5efghijk region uswest2

在附加OT和IT ENI时递增deviceindex并使用相应的唯一ENI ID：

shellaws ec2 attachnetworkinterface deviceindex 2 instanceid i0e47e6eb9873d1234 networkinterfaceid eni0bbe1543fb0bdabff region uswest2

aws ec2 attachnetworkinterface deviceindex 3 instanceid i0e47e6eb9873d1234 networkinterfaceid eni0bbe1a123b0bdabde region uswest2

在附加每个远程ENI后，防火墙实例现在在此示例架构使用的每个VPC中都有一个接口和IP地址：

shellubuntu@firewall ip address

ens5 mtu 9001 qdisc mq state UP group default qlen 1000 inet 10240410/24 metric 100 brd 102404255 scope global dynamic ens5

ens6 mtu 9001 qdisc mq state UP group default qlen 1000 inet 10242050/24 metric 100 brd 102420255 scope global dynamic ens6

ens7 mtu 9001 qdisc mq state UP group default qlen 1000 inet 102447651/16 metric 100 brd 10244255255 scope global dynamic ens7

ens11 mtu 9001 qdisc mq state UP group default qlen 1000 inet 1721627/24 metric 100 brd 172162255 scope global dynamic ens11

更新VPC/子网路由表

现在，您可以添加所需的路由，以便允许待检流量通过防火墙。

例如，OT子网1024200/24使用路由表ID为 rtbabcdefgh123456789。为了将流量通过防火墙发送，您需要添加一个目标为现已附加到防火墙的ENI (eni07957a9f294fdbf5d) 的默认路由：

shellaws ec2 createroute routetableid rtbabcdefgh123456789 destinationcidrblock 0000/0 networkinterfaceid eni07957a9f294fdbf5d

对于IT VPC/子网添加默认路由时，遵循相同的过程。

在为IT和OT VPC提供路由后，您需要确保防火墙使用暴露的VPC来路由流量到本地网络192168300/24。这可以通过在防火墙OS中添加一条指向VPC网关的路由来完成。

附加到防火墙的来自暴露VPC的ENI位于子网1721620/28中，该子网的网关通常是根据 Amazon虚拟私有云 (VPC)约定，子网中的第一个地址1721621。这将用于更新防火墙OS路由表：

shellsudo ip route add 192168300/24 via 1721621

现在，您可以确认防火墙OS已与每