东西向安全和中转网关（Transit Gateway）

Question

【以下的问题经过翻译处理】 客户已经实施了TGW（Transit Gateway），最初在东/西向路由方面有非常有限的配置（只有服务账户、DX等）。现在，他们越来越需要在VPC之间实现连接，并且由于涉及到大量的AWS账户，不想使用VPC对等连接。

他们正在考虑打开路由，允许所有账户彼此之间进行路由，但是需要一种方法来对其中一些账户的访问进行安全控制。TGW的ENI（弹性网络接口）都终止在每个账户中的专用子网中，他们正在考虑的一个选项是在这些子网中使用NACL（网络访问控制列表）来控制与TGW和其他账户之间的访问。

这是否听起来像是可行的解决方案，或者有其他/最佳实践的选项可以实现这个需求？

谢谢。

Answer

【以下的回答经过翻译处理】 您的架构是一个很好的方法。客户可以启用完全网状路由到TGW，然后在ENI所在的子网上使用NACL（网络访问控制列表）来限制对该VPC的访问，前提是如您所说，TGW ENI在专用子网上。

您还可以选择另一种方式，即添加一个中间安全（也称为侦测或设备）VPC来检查流量。

第三种选择可能是看看Firewall Manager（防火墙管理器）可以为您做什么，比如集中配置安全组。我对此的顾虑是，您需要将所有SG集中处理，这可能不适合开发环境。

当然，您的建议绝对是可行的，但我建议客户在IP CIDR范围分配方面要清楚，不要为自己增加麻烦。NACL中有条目的限制，当您有很多IP地址范围时，一定不希望达到允许/拒绝的条目限制点的情况。如果是银行等机构，最好将它们的范围与安全级别或业务单位对齐，并以这种方式进行高级别的控制！

相关内容