在AWS中建立网络分割案例

网络分割最简单的示例是使用防火墙分离应用程序和基础结构组件。这个概念现在是构建数据中心和应用程序架构中提出的。但如果没有合适的网络分割模型，几乎不可能找到企业案例。

网络分割的最佳实案例需要以下功能：

1、入侵检测和预防系统（ids和ips），基于已知的cve、行为模式和行业智能来检测和阻止恶意流量 2、防病毒和恶意软件检测，以检测和阻止流量中的病毒和恶意软件行为 3、沙箱，在“安全”的虚拟环境中执行和处理流量，以观察结果 4、用于检测和阻止基于应用程序威胁的web防火墙 5、分布式拒绝服务（DDoS）保护以阻止暴力和拒绝服务攻击 6、ssl解密和监视

在本地场景中，下一代防火墙提供了这些功能的大部分。理想情况下，防火墙只允许有效端口上的通信，这些防火墙可以检查所有端口上的流量，包括打开的有效端口（例如80443）。

如何在aws中实现网络分割

假设在aws上运行的示例应用程序有四个组件：s3内容、lambda、在ec2实例上运行的自定义数据处理组件和几个rds实例。它们反映了三个网络分割区域：web、应用程序和数据。

入站流量被发送到s3中的静态或动态页面。这些页面启动lambda来操作和转换提供的数据。lambda调用在ec2实例上运行的自定义逻辑。lambda和ec2系统与多个rds数据库交互，以丰富和存储各种格式的数据。在现实环境中，这些组件将使用许多aws配置和策略。

在程序开发人员放松安全控制情况下，下图显示了此非安全流和网络区域覆盖：

分割需求需要多个aws配置，包括：

1、AWS防护； 2、AWS WAF； 3、VPC——专用子网； 4、VPC——公共子网； 5、VPC——互联网网关； 6、VPC——路由表； 7、VPC——安全组； 8、VPC——网络负载均衡器； 9、下一代防火墙； 10、AWS云监视；

网络分割工作原理

入站流量请求首先由aws进行处理，禁止DDoS攻击和某些其他干扰向量。然后aws waf分析该请求，以限制sql插入、扫描各种cve和ip白名单。然后，入站流量被发送到s3。

接下来，lambda操作并转换提供的数据。所有这些处理都是在aws中的公共访问服务中完成的。下一步交由在vpc处理。

来自lambda的流量通过internet网关发送，然后路由到网络负载平衡器。负载平衡器重定向到几个虚拟防火墙之一。为设计多个防火墙是为了冗余和容量。这些防火墙应用ids/ips、恶意软件、沙箱，ssl解密，以便通进行数据包级别的检查。

接下来，请求被发送到vpc路由表。路由表应用安全组策略，这些策略限制通信源、目标、端口和路由，以确保只有特定的服务可以通信。此路由表还区分了公共子网（即，ec2应用服务器，外部可访问）和私有子网（即数据库）。vpc完成的所有处理都被捕获在vpc流日志中，并存储到SIEM系统，SIEM系统很可能托管在本地或其他地方。

考虑和要求

这种流量路由显然比传统系统复杂得多，复杂性增加了错误和配置出错的机会。

路由也会影响性能，如果此模型保护电子商务网站等时间敏感事务，则需要对其进行评估和优化。但考虑到aws的速度和性能，大多数用户的浏览器和网络连接可能太慢而无法注意到差异。对于对时间不太敏感的事务，此模型可以正常工作。

*参考来源：securityintelligence，由Kriston编译，转载请注明来自FreeBuf.COM