1 個回答
- 最新
- 最多得票
- 最多評論
0
【以下的回答经过翻译处理】 您的架构是一个很好的方法。客户可以启用完全网状路由到TGW,然后在ENI所在的子网上使用NACL(网络访问控制列表)来限制对该VPC的访问,前提是如您所说,TGW ENI在专用子网上。
您还可以选择另一种方式,即添加一个中间安全(也称为侦测或设备)VPC来检查流量。
第三种选择可能是看看Firewall Manager(防火墙管理器)可以为您做什么,比如集中配置安全组。我对此的顾虑是,您需要将所有SG集中处理,这可能不适合开发环境。
当然,您的建议绝对是可行的,但我建议客户在IP CIDR范围分配方面要清楚,不要为自己增加麻烦。NACL中有条目的限制,当您有很多IP地址范围时,一定不希望达到允许/拒绝的条目限制点的情况。如果是银行等机构,最好将它们的范围与安全级别或业务单位对齐,并以这种方式进行高级别的控制!
相關內容
- AWS 官方已更新 2 年前
- AWS 官方已更新 2 年前
- AWS 官方已更新 2 年前
- AWS 官方已更新 2 年前