简化全球安全检查：AWS Cloud WAN 服务插入

关键要点在这篇文章中，我们讨论了AWS Cloud WAN 服务插入的新功能，能够通过中心政策文件无缝插入AWS及第三方网络和安全服务。通过此功能，用户可以轻松指导VPC间或VPC到本地数据中心的流量，便于安全检查。

更新日期：2024年6月28日对于图5及后续数据包走查做了修正。

AWS Cloud WAN 是一项托管的广域网 (WAN) 服务，帮助客户构建和运营连接数据中心、分支机构以及 Amazon Virtual Private Cloud (Amazon VPC) VPCs 的广域网络。你可以使用网络政策集中配置和自动化管理网络及安全任务，并获取全球网络的完整视图。自从服务上线以来，越来越多的客户意识到AWS Cloud WAN在创建全球网络和促进资源连接方面的能力。但伴随连接性需求而来的是对使用AWS原生或第三方防火墙进行安全检查功能的需求。客户越来越希望能检查和保护他们的网络，因此开始寻求设计安全全球网络的指导。为帮助客户学习，我们已经发布了几篇有关如何使用AWS Cloud WAN架构安全全球网络的博文。

传统安全检查方法面临的挑战

虽然现有的检查架构模式提供了许多好处，但客户在大规模实施AWS Cloud WAN时也面临挑战：

由于检查段在共享，因此VPC路由使用无类域间路由CIDR动态传播，针对每个新增加的VPC必须在AWS Cloud WAN的检查段路由表中建立静态路由。在多个AWS区域内，地理中心的检查架构复杂。有一个全球检查段的情况下，现有解决方案无法强制流量通过各自区域的防火墙。为了满足检查各自AWS区域内流量并保持对称路由的要求，客户不得不为每个区域或边缘位置创建唯一的全局共享检查段。每个唯一的共享检查段都算在核心网络AWS Cloud WAN段的配额中。

在这篇博文中，我们将介绍AWS Cloud WAN 服务插入服务插入，这是一个新功能，可以使用中心政策文档在AWS Cloud WAN上插入AWS及第三方网络和安全服务，从而提供更高的操作简便性。通过此功能，你可以轻松地通过定义简单的政策语句或使用AWS管理控制台，指导VPC到VPC、互联网出口和混合环境的流量通过网络或安全设备。该功能还支持基于政策的流量引导到AWS服务，如 AWS网络防火墙和网关负载均衡器，这些服务在检查VPC中进行了东西向和南北向的安全检查，允许将安全基础设施与其余的AWS Cloud WAN部署无缝集成。

服务插入的好处

客户使用AWS Cloud WAN部署集中式安全架构，以整合安全资源、减少管理负担并节省安全基础设施成本。安全检查功能可以包括保护东西向VPC到VPC、南北向互联网出口或混合环境。

网络服务插入的简化路由：客户常常需要将VPC间或VPC到互联网或本地的数据流定向通过网络设备，例如网络防火墙或负载均衡器。借助AWS Cloud WAN服务插入，客户可以轻松指导感兴趣的网络流量到部署在VPC中的网络或安全设备，而不用创建和管理复杂的路由配置或使用第三方自动化工具。多区域安全检查的易部署：大多数AWS Cloud WAN客户为支持区域扩展或灾难恢复场景，部署多区域网络。服务插入功能简化了多区域部署，使你能够通过安全基础设施引导区域内及区域间的流量，而无需复杂的多区域网络配置。

关键概念

本文假设你熟悉以下 AWS Cloud WAN 组件：全球网络、核心网络、核心网络政策、附件、核心网络边缘和网络段。

除了上述概念外，了解AWS Cloud WAN 服务插入功能中新组件网络功能组NFG也很重要。

网络功能组NFG

NFG 本质上是一个单段，集合了指向特殊网络或安全功能如 NAT、防火墙AWS 网络防火墙或网关负载均衡器或第三方服务、入侵检测和防御系统以及数据泄露防御等的核心网络附件，这些服务都是作为全球AWS Cloud WAN网络的一部分而部署。

NFG 允许你通过部署在VPC或连接到AWS Cloud WAN的本地网络中的网络功能，自动引导同段或跨段流量。你可以指定一个包含核心网络附件VPC、站点到站点VPN、连接或传输网关路由表的 NFG，其中包含你希望流量重新定向到网络功能的段或段对。AWS Cloud WAN 将自动通过相应的核心网络附件在段间重定向网络流量，该重定向适用于同一区域区域内和跨区域区域间的流量。你可以使用 AWS Cloud WAN 核心网络政策文档指定主要配置项，如下：

表示一个或多个网络功能的NFG。属于NFG的核心网络附件。必须使用网络功能情景2中的附件引导的同段或跨段流量。

理解Cloud WAN网络段和NFG之间的关键区别也很重要。

核心网络段核心网络功能组段是隔离的路由域，你可以为其关联附件，同时对段内和跨段的路由拥有完全控制权。例如，你可以在段内添加或删除路由，或者在段之间共享路由。NFG拥有自己的路由表，这些路由将根据政策文档中的服务插入配置自动传播带有下一跳重定向。虽然你可以全面查看这些路由，但你无法在NFG内添加、删除或共享路由。当你将附件与Cloud WAN段关联时，VPC CIDR或动态路由将传播到相应的段路由表中。当你将附件与NFG关联时，VPC CIDR或动态路由不会传播到NFG路由表中。

要引导流量，NFG引入了以下段操作：

‘sendvia’：用于在相同或不同段之间，通过NFG中的附件引导流量，使用下一跳覆盖。‘single hop’：流量通过单个中间附加项传输，使用确定性的源或目标区域。你可以设置一个区域列表，并优先设置一个区域。‘dualhop’：流量通过在源和目标核心网络边缘插入的附件传输。此选项要求检查附件应位于每个启用服务插入的段的所有区域。‘sendto’：用于通过NFG中的附件引导来自关联段的工作负载的出口流量到互联网或混合环境，使用默认路由 (0/0 /0)。

详细学习这些概念，请查看 AWS Cloud WAN 文档。

架构

在这一部分，我们聚焦以下三个场景：

区域内、跨段检查跨区域、跨段双重检查跨区域、跨段单重检查

场景1 区域内、跨段检查

以下图示 (图2) 显示了场景1，我们可能需要允许同一区域内不

同段的附件互相通信，但仅通过检查设备。例如，当你的开发团队必须将工程变更推送到生产环境时。Prod VPC10100/16和Dev VPC101100/16位于同一区域区域1，但关联到Prod和Dev段。检查VPC 11006410/24也在同一区域。

接下来，我们将演示如何在Prod VPC 1到Dev VPC 1的流量路径中插入NFG的步骤。

步骤1：使用下面的示例政策创建一个InspectionNFG网络功能组：

加速器免费下载

jsonnetworkfunctiongroups[ { nameInspectionNFG requireattachmentacceptancefalse }]

步骤2：使用下面的示例附件政策，将Inspection VPC 1的附加项关联到InspectionNFG网络功能组：

jsonattachmentpolicies[ { rulenumber 100 conditionlogicor conditions[ { typetagexists keystage } ] action{ associationmethodtag tagvalueofkeystage } }]

步骤3：在配置段操作将网络功能即Inspection VPC 1插入流量路径之前，确保Inspection VPC 1 的附件已创建并与InspectionNFG关联。你可以使用以下示例AWS CLI创建附件：

bashaws networkmanager createvpcattachment corenetworkid ltcorenetworkidgt vpcarn ltvpcarngt subnetarns ltsubnet1arngt ltsubnet2arngt tags Key=stageValue=InspectionNFG

步骤4：在创建并关联Inspection VPC 1附件与Inspection NFG后，使用下面的示例段操作，将InspectionNFG网络功能组插入到跨段流量中：

jsonsegmentactions[ { actionsendvia segmentprod modesinglehop whensentto{ segments } via{ networkfunctiongroups[ InspectionNFG ] } }]

请注意在 whensentto 下，segments 表示所有段，意味着在Prod与任何其他段之间发送的流量例如，Dev、Test、Stage、QA等。一个“”还将为孤立段提供区域内服务插入。

一旦在流量路径中插入了Inspection VPC 1网络功能，Prod与Dev段或在核心网络中存在的任何其他段之间的所有跨段流量将通过关联标签键为stage和标签值为InspectionNFG的核心网络附加项顺畅地引导到Inspection VPC 1的防火墙中见图3。AWS Cloud WAN将会：

将所有工作负载段的路由传播到InspectionNFG路由表，并重定向到适当的工作负载附件。传播在同一区域的路由将具有其下一跳重定向到当地的网络功能组附件。注意：在跨区域路由的情况下，随后的场景中将会描述，来自不同区域的路由将其下一跳重定向到可以用户配置的首选区域的NFG附件。对于政策中指定的所有段对，将相应的工作负载段路由表中的路由传播到对应的工作负载段路由表，下一跳为本地NFG附件。

数据包走查：

当Prod VPC 1中的资源与同一区域的Dev VPC 1中的资源通信时，以下步骤示范了一次数据包走查：

使用 AWS Cloud WAN 服务插入简化全球安全检查网络与内容传递 (A) 当Prod VPC 1中的资源开始连通Dev VPC 1中的资源时，进行Prod VPC 1路由表查找。数据包与核心网络的ARN 默认路由条目匹配，数据包被路由到核心网络。(B) 当数据包到达核心网络时，由于Prod VPC 1与Prod段相关联，它会在区域1的边缘位置查找Prod段路由表。数据包与Dev VPC 1的CIDR条目匹配，以Inspection VPC 1附件为目标，数据包被路由到Inspection VPC 1。(C) 当Inspection VPC 1中的防火墙检查流量并根据已配置的安全策略允许其通过后，数据包被重新路由回核心网络。(D) 当数据包到达核心网络时，由于Inspection VPC 1与InspectionNFG相关联，因此它通过区域1边缘位置进行InspectionNFG路由表查找。数据包与Dev VPC 1的CIDR条目匹配，以Dev VPC 1附件为目标，数据包被路由到Dev VPC 1。

返回流量按相反方向遵循相同的路径。

场景2 跨区域、跨段，双重检查

接下来的图示图4展示了场景2。场景2与场景1类似，但Prod和Dev VPC位于不同区域。Prod VPC 110100/16位于区域1并关联到Prod段，而Dev VPC 21722500/16位于区域2并关联到Dev段。

除了需要检查不同段中附件的流量外，你可能还需要将每个AWS区域视为一个独立的受保护环境。为此，每个区域都有自己的检查VPC，区域1的检查VPC 11006410/24和区域2的检查VPC 21006420/24。类似于场景1步骤13，我们创建一个InspectionNFG网络功能组，并将两个检查VPC关联到此InspectionNFG。

通过下述的段操作双重跳模式，你可以将InspectionNFG插入到跨区域、跨段的流量路径中。这可以使得流量引导到每个区域的检查VPC：

jsonsegmentactions[ { actionsendvia segmentprod modedualhop whensentto{ segments } via{ networkfunctiongroups[ InspectionNFG ] } }]

在你将Inspection VPC 1和Inspection VPC 2网络功能插入到流量路径后，Prod和Dev段或任何在核心网络中存在的其他段之间的所有跨段流量将自动引导至具有标签键为stage和标签值为 InspectionNFG 的核心网络附加项，并通过Inspection VPC 1和Inspection VPC 2的防火墙分别进行处理。如图5所示。