【AWS征文】AWS安全加固-Fortinet AWS 安全解决方案
作者:昱坤
在公有云方案日益火爆的今天,公有云应用越来越广泛。随之而来的,公有云也遇到了一些挑战:
传统数据中心产品不一定支持云环境
传统的产品不一定支持云弹性的部署以及模块化的部署
云架构的部署思路与传统物理环境部署环境完全不同
传统的安全防护很难在多云环境提供统一安全解决方案
遇到最多的问题就是:我们云环境一定要和物理数据中心架构一样
而在企业进行公有云迁移时对于安全和自动化的要求,AWS上有了新的安全自动部署方案:
在该方案中,可以将防火墙部署在Transit VPC中,以实现VPC与VPC间/VPC与Internet间等的安全加固需求。此文仅介绍Fortinet AWS 的安全解决方案。
Fortinet云部署实例要求
如果要在AWS上部署FortiGate-VM,那么实例需要满足以下要求:
Fortinet常见云部署模式
针对AWS云上部署,Fortinet提供两种常见的部署方案:
- NGFW 和ELB部署形式
两个AZ的FW与WAF工作在AA模式
入向流量通过ELB负载分摊
FW开启NGFW威胁检测功能
FW将流量映射至内部ELB FQDN
- NGFW以及WAF 和ELB部署形式
FW与WAF完全集成将HTTP转至WAF
WAF对HTTP流量进行深度检测
WAF将HTTP流量映射至内部ELB
在该部署模式下,三明治式的部署架构是部署WAF的最佳实践:
入向流量通过ALB负载,并基于内容分流;
WAF专注于管理高级WEB安全配置;
两种高级防御模式
• 黑名单
提供特征库防御,IP信誉库,HTTP协议规范,防病毒.DLP,高级防御规则,高级APT防护等功能
• 白名单
提供网站详细参数设定,扫描报告导入,应用自学,Bot机器学习,参数机器学习等功能
云部署的高可用性
Fortinet云部署HA有两种方案:
方案一:
由于AWS VPC中不支持二层协议,所以不能在AWS中运行VRRP
HA使用主备模式部署在相同AZ,心跳使用3层
根据事件或SLA自动切换主备
主备切换会自动调用AWS API,备设备将主设备上的secondary IP和EIP切换至备设备
同时备设备将指向主设备网卡的下一条指向自己
方案二:
FortiGate部署在两个不通的可用区,子网信息并不相同
通过Fortinet利用AWS的原生服务AWS API Gateway、Cloudwatch、Lambda构建了一套自动切换VPC路由表的解决方案
当FortiGate自己发现故障,会通过联动API Gateway触发Lambda切换VPC路由表
当Cloud Watch发现设备故障,同样会触发Lambda切换VPC路由表
自动扩展模式
自动扩展模式:
在面向公网侧部署NLB,保障公网IP可以透传到FortiGate侧
CloudWatch持续监控FortiGate CPU及MEM信息触发Lambda
Lambda在Autoscale成员中增加FW并通过API通知FW同步配置
FW同步完配置通过API通知Lambda
Lambda更新ELB配置
DynamoDB存储Autoscaling 状态信息
支持PAYG,Hybrid部署
- 遇到API安全问题怎么办?F5 API加固解决方案怎么样?
- 【AWS征文】让我们聊聊 AWS 在云安全方面做了哪些深耕
- 数据安全加固 NPM/nTracker 网络流量行为监控系统的解决方案
- 移动安全大讲堂:整体解决方案之Android加固保护
- #云栖大会# 移动安全专场——APP加固新方向(演讲速记)
- nginx 安全加固心得
- 企业提供下载链接的安全解决方案
- 利用sudo加固Linux系统安全
- JSONP安全防范解决方案新思路
- 网络安全的威胁与解决方案
- Android数据库安全解决方案,使用SQLCipher进行加解密
- Rpm另类用法加固Linux安全
- openSUSE 的内核安全加固项目:gardened
- solaris系统安全加固实施文档
- 基于J2ME的移动商务应用层端到端安全解决方案(一)
- 小记一次网站应用漏洞扫描--启动了不安全的HTTP方法(Insecure HTTP Method)及其解决方案
- 给力2011-东莞市南洋计算机软件有限公司 携手10大厂商提供企业安全有效节省成本解决方案
- 企业桌面安全管理解决方案
- IIS与SQL服务器安全加固
- 简单你的安全,全球技术最先进的软件保护解决方案!!保护您的软件免遭盗版的袭击!!!