Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

东西向安全和中转网关(Transit Gateway)

0

【以下的问题经过翻译处理】 客户已经实施了TGW(Transit Gateway),最初在东/西向路由方面有非常有限的配置(只有服务账户、DX等)。现在,他们越来越需要在VPC之间实现连接,并且由于涉及到大量的AWS账户,不想使用VPC对等连接。

他们正在考虑打开路由,允许所有账户彼此之间进行路由,但是需要一种方法来对其中一些账户的访问进行安全控制。TGW的ENI(弹性网络接口)都终止在每个账户中的专用子网中,他们正在考虑的一个选项是在这些子网中使用NACL(网络访问控制列表)来控制与TGW和其他账户之间的访问。

这是否听起来像是可行的解决方案,或者有其他/最佳实践的选项可以实现这个需求?

谢谢。

Themen
Vernetzung & Bereitstellung von Inhalten
Tags
AWS Transit Gateway
Sprache
中文 (简体)
profile picture
EXPERTE
rePost Polyglot
gefragt vor 6 Monaten32 Aufrufe
1 Antwort
0

【以下的回答经过翻译处理】 您的架构是一个很好的方法。客户可以启用完全网状路由到TGW,然后在ENI所在的子网上使用NACL(网络访问控制列表)来限制对该VPC的访问,前提是如您所说,TGW ENI在专用子网上。

您还可以选择另一种方式,即添加一个中间安全(也称为侦测或设备)VPC来检查流量。

第三种选择可能是看看Firewall Manager(防火墙管理器)可以为您做什么,比如集中配置安全组。我对此的顾虑是,您需要将所有SG集中处理,这可能不适合开发环境。

当然,您的建议绝对是可行的,但我建议客户在IP CIDR范围分配方面要清楚,不要为自己增加麻烦。NACL中有条目的限制,当您有很多IP地址范围时,一定不希望达到允许/拒绝的条目限制点的情况。如果是银行等机构,最好将它们的范围与安全级别或业务单位对齐,并以这种方式进行高级别的控制!

profile picture
EXPERTE
rePost Polyglot
beantwortet vor 6 Monaten

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen

Relevanter Inhalt