【AWS征文】AWS安全加固-Fortinet AWS 安全解决方案
作者:昱坤
在公有云方案日益火爆的今天,公有云应用越来越广泛。随之而来的,公有云也遇到了一些挑战:
传统数据中心产品不一定支持云环境
传统的产品不一定支持云弹性的部署以及模块化的部署
云架构的部署思路与传统物理环境部署环境完全不同
传统的安全防护很难在多云环境提供统一安全解决方案
遇到最多的问题就是:我们云环境一定要和物理数据中心架构一样
而在企业进行公有云迁移时对于安全和自动化的要求,AWS上有了新的安全自动部署方案:
在该方案中,可以将防火墙部署在Transit VPC中,以实现VPC与VPC间/VPC与Internet间等的安全加固需求。此文仅介绍Fortinet AWS 的安全解决方案。
Fortinet云部署实例要求
如果要在AWS上部署FortiGate-VM,那么实例需要满足以下要求:
Fortinet常见云部署模式
针对AWS云上部署,Fortinet提供两种常见的部署方案:
- NGFW 和ELB部署形式
两个AZ的FW与WAF工作在AA模式
入向流量通过ELB负载分摊
FW开启NGFW威胁检测功能
FW将流量映射至内部ELB FQDN
- NGFW以及WAF 和ELB部署形式
FW与WAF完全集成将HTTP转至WAF
WAF对HTTP流量进行深度检测
WAF将HTTP流量映射至内部ELB
在该部署模式下,三明治式的部署架构是部署WAF的最佳实践:
入向流量通过ALB负载,并基于内容分流;
WAF专注于管理高级WEB安全配置;
两种高级防御模式
• 黑名单
提供特征库防御,IP信誉库,HTTP协议规范,防病毒.DLP,高级防御规则,高级APT防护等功能
• 白名单
提供网站详细参数设定,扫描报告导入,应用自学,Bot机器学习,参数机器学习等功能
云部署的高可用性
Fortinet云部署HA有两种方案:
方案一:
由于AWS VPC中不支持二层协议,所以不能在AWS中运行VRRP
HA使用主备模式部署在相同AZ,心跳使用3层
根据事件或SLA自动切换主备
主备切换会自动调用AWS API,备设备将主设备上的secondary IP和EIP切换至备设备
同时备设备将指向主设备网卡的下一条指向自己
方案二:
FortiGate部署在两个不通的可用区,子网信息并不相同
通过Fortinet利用AWS的原生服务AWS API Gateway、Cloudwatch、Lambda构建了一套自动切换VPC路由表的解决方案
当FortiGate自己发现故障,会通过联动API Gateway触发Lambda切换VPC路由表
当Cloud Watch发现设备故障,同样会触发Lambda切换VPC路由表
自动扩展模式
自动扩展模式:
在面向公网侧部署NLB,保障公网IP可以透传到FortiGate侧
CloudWatch持续监控FortiGate CPU及MEM信息触发Lambda
Lambda在Autoscale成员中增加FW并通过API通知FW同步配置
FW同步完配置通过API通知Lambda
Lambda更新ELB配置
DynamoDB存储Autoscaling 状态信息
支持PAYG,Hybrid部署
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
数据库激荡 40 年,NoSQL、NewSQL谁能接棒?
起初有文件,后来有基于结构化文件的导航数据库,然后出现了IMS和CODASYL。大概40年前,出现了首批关系数据库。在20世纪八、九十年代的大部分时间,“数据库”严格意义上指“关系数据库”——SQL(标准查询语言)占主导地位。 后来随着面向对象编程语言日益流行,一些人认为,解决面向对象语言和关系数据库“阻抗不匹配”的办法是在数据库中映射对象。因此,我们最后迎来了“面向对象的数据库”。对象数据库方面有意思的地方是,在许多情况下,它们基本上是内置对象映射器的普通数据库。这种数据库后来渐渐失宠,下一个真正的主流尝试是2010年代的“NoSQL”。 1. 攻击SQL NoSQL以同样的方式攻击关系数据库和SQL。这回的主要问题是,互联网颠覆了具有40年历史关系数据库管理系统(RDBMS)架构的基本前提。这种数据库旨在节省宝贵的磁盘空间,并可纵向扩展。然而现在有太多的用户和太多的任务,一台胖服务器处理不了。NoSQL数据库则宣称,如果数据库没有连接(join),没有标准查询语言(因为实现SQL需要花费时间),也没有数据完整性,那么就可以横向扩展以处理众多用户。这解决了纵向扩展的问题,但也带来了新...
- 下一篇
写给前端工程师的 Flutter 教程
w本文由图雀社区认证作者Tyler写作而成,,点击阅读原文查看作者的博客链接,感谢作者的优质输出,让我们的技术世界变得更加美好😆 涉及Dart语言,Flutter原理,Flutter Widget,以及Flutter中的状态管理方案等,堪称最全的Flutter教程😄 最爱折腾的就是前端工程师了,从 jQuery 折腾到 AngularJs,再折腾到 Vue、React。最爱跨端的也是前端工程师,从 phonegap,折腾到 React Native,这不又折腾到了 Flutter。图啥?低成本地为用户带来更优秀的用户体验。目前来说Flutter[1]可能是其中最优秀的一种方案了。 Flutter 是什么? Flutter is Google’s UI toolkit for building beautiful, natively compiled applications for mobile[2], web[3], and desktop[4] from a single codebase. Flutter[5]是由原 Google Chrome 团队成员,利用 Chrome ...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- CentOS7,CentOS8安装Elasticsearch6.8.6
- CentOS7安装Docker,走上虚拟化容器引擎之路
- SpringBoot2全家桶,快速入门学习开发网站教程
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- CentOS关闭SELinux安全模块
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- Linux系统CentOS6、CentOS7手动修改IP地址