Для ефективного захисту мережевого трафіку за допомогою хмарних технологій, включаючи Amazon Web Services (AWS), вам потрібні кілька критично важливих базових інструментів управління мережею
Одним з них є функція таблиці маршрутизації, яка в екосистемі AWS визначає шлях мережевого трафіку. Кожна підмережа, приватна або публічна, у вашому віртуальному приватному хмарному середовищі (VPC) AWS асоційована з таблицею маршрутизації, яка контролює потік трафіку між підмережами.
Tufin використовує таблиці маршрутизації AWS для високої доступності та відновлення після катастроф, автоматизує управління конфігурацією, забезпечує відповідність політикам та надає централізовану видимість і контроль. За допомогою таких рішень, як оркестрація політик безпеки AWS і автоматизація політик AWS, Tufin гарантує, що таблиці маршрутизації є безпечними, відповідними та ефективно підтримують стійкість мережі та зусилля з відновлення після катастроф.
Спочатку давайте розберемося, що таке таблиці маршрутизації AWS і чому важливо пам’ятати про високу доступність та відновлення після катастроф при їх використанні.
Таблиця маршрутизації містить набір правил, які називаються маршрутами, що визначають напрямок мережевого трафіку з вашої підмережі або шлюзу на основі IP-адреси. Кожен маршрут у таблиці вказує призначення (у вигляді IP-адреси або блоку CIDR) та ціль (наприклад, шлюз Інтернету (IGW), мережевий інтерфейс або іншу таблицю маршрутизації).
Локальний маршрут – це спеціальний тип маршруту, який дозволяє спілкування всередині віртуального приватного хмарного середовища Amazon (Amazon VPC). Крім того, ваш VPC має неявний маршрутизатор, і ви використовуєте таблиці маршрутизації для керування тим, куди направляється мережевий трафік.
Ви можете створити таблицю маршрутизації в AWS за допомогою консолі управління AWS, AWS CLI, AWS API або команди «CreateRouteTable». Ви вкажете свій ідентифікатор VPC і, можливо, деякі спеціальні правила, а потім пов’яжете його з бажаними підмережами у вашому віртуальному приватному хмарному середовищі Amazon.
Загалом, AWS стверджує, що її таблиці маршрутизації направляють мережевий трафік за допомогою найбільш специфічного маршруту, який відповідає трафіку, також відомого як найдовше відповідне префіксу. Якщо в таблиці маршрутизації є перекриваючі або відповідні маршрути, застосовується більше правил. Ось деякі з пріоритетів, які враховують таблиці маршрутизації AWS:
-
Найдовше відповідне префіксу: Маршрути до IPv4 та IPv6 адрес або блоків CIDR є незалежними один від одного, згідно з AWS. Amazon використовує найспецифічніший маршрут, який відповідає або IPv4-трафіку, або IPv6-трафіку, щоб визначити, як маршрутизувати трафік.
-
Статичні маршрути: Якщо віртуальний приватний шлюз приєднаний до вашого VPC і ви ввімкнули поширення маршруту в таблиці маршрутизації підмережі, маршрути, що представляють ваше з’єднання VPN сайт-сайт, автоматично з’являються як поширені маршрути у вашій таблиці маршрутизації, говорить AWS. Якщо призначення поширеного маршруту ідентичне призначенню статичного маршруту, пріоритет має статичний маршрут.
-
Маршрути списку префіксів: Інші правила застосовуються, якщо ваша таблиця маршрутизації посилається на список префіксів. Наприклад, якщо ваша таблиця маршрутизації містить статичний маршрут з блоком CIDR призначення, який перекривається зі статичним маршрутом зі списком префіксів, пріоритет має статичний маршрут з блоком CIDR.
-
Поширені маршрути: Якщо призначення поширеного маршруту ідентичне призначенню статичного маршруту, пріоритет має статичний маршрут. Кілька ресурсів використовують статичні маршрути, включаючи шлюзи Інтернету, шлюзи NAT, ідентифікатори екземплярів, кінцеві точки VPC шлюзу, транзитні шлюзи та з’єднання VPC-пірингу. AWS також підтримує динамічні маршрути, такі як маршрути BGP Direct Connect і маршрути VON BGP.
Чому висока доступність і відновлення після катастроф важливі для таблиць маршрутизації AWS?
У середовищі AWS таблиці маршрутизації, як і всі компоненти маршрутизації та управління мережевим трафіком, мають переваги високої доступності для пом’якшення наслідків неправильних конфігурацій, які призводять до переривання мережі. Висока доступність забезпечує надлишковість і надійність пакетної комунікації. Ось деякі елементи, специфічні для AWS, які слід враховувати:
-
Транзитний шлюз AWS контролює, як трафік маршрутизується між усіма підключеними мережами-спікерами, використовуючи таблиці маршрутизації, і за своєю конструкцією має високу доступність. Транзитний шлюз автоматично поставляється зі стандартною таблицею маршрутизації. За замовчуванням ця таблиця маршрутизації є стандартною таблицею маршрутизації асоціації та стандартною таблицею маршрутизації поширення. AWS рекомендує використовувати один шлюз у кожному регіоні для надлишковості, але зазначає, що створення кількох шлюзів можна розгорнути, щоб обмежити вплив неправильної конфігурації, відокремити операції контрольної площини та полегшити адміністрування мережі.
-
З різноманітним спектром інфраструктури, яку пропонує AWS, важливо передбачити потенційні збої та забезпечити, щоб додатки могли продовжувати розв’язувати імена DNS навіть у разі відмови зони доступності AWS.
-
Ще одним аспектом є планування маршрутизації додатків, оскільки важливо враховувати, як мережа працюватиме під час обмеженої маршрутизації та доступності служб.
На додаток до високої доступності, відновлення після катастроф також має вирішальне значення для таблиць маршрутизації AWS. За допомогою відновлення після катастроф ви можете виконати відмову та перенести додатки на свій сайт відновлення після катастроф, щоб ваш бізнес міг продовжувати функціонувати нормально, навіть якщо виробничий сайт недоступний.
Відновлення після катастроф має вирішальне значення для таблиць маршрутизації та інших мережевих компонентів, оскільки воно допомагає запобігти втраті даних і простою, а також забезпечити безпеку та готовність вашого сайту відновлення AWS у разі катастрофічної мережевої проблеми.
Інструменти, такі як AWS Elastic Disaster Recovery, можуть автоматично реплікувати вашу конфігурацію мережі AWS, включаючи таблиці маршрутизації, групи безпеки, CIDR-підмережі, шлюзи Інтернету та списки контролю доступу до мережі. Amazon стверджує, що AWS DRS забезпечує час відновлення (RTO) у хвилини.
Як Tufin покращує таблиці маршрутизації AWS для високої доступності та аварійного відновлення
Tufin спрощує керування мережами у складних середовищах, включаючи AWS. Інструменти автоматизації та оркестрування Tufin дозволяють вам керувати та контролювати політику безпеки підприємства у хмарних та локальних мережах за допомогою єдиної панелі.
За допомогою інструментів автоматизації політик Tufin ви отримуєте комплексну та узгоджену видимість додатків, ресурсів та груп безпеки AWS у режимі реального часу за допомогою автоматичного виявлення та моделювання. Ви можете бачити, коли було додано або видалено VPC AWS.
Інструменти автоматизованого керування змінами Tufin дозволяють вам автоматизувати робочі процеси затвердження, щоб гарантувати, що зміни будуть розглянуті та схвалені відповідним персоналом перед реалізацією, що скорочує ручні зусилля та мінімізує ризик людської помилки.
Це може значно знизити ймовірність того, що ручні зміни призведуть до неправильних налаштувань таблиць маршрутизації AWS, брандмауерів та інших елементів мережевої маршрутизації. Зрештою, це допомагає забезпечити вашим мережам високу доступність, необхідну для збереження стійкості та можливості відновлення після збоїв.
Tufin Orchestration Suit - унікальне рішення для українського IT-ринку в портфелі компанії NWU
Tufin Orchestration Suit - по справжньому передове та унікальне рішення від світового лідера кібербезпеки на вітчизняному IT-ринку, представлене в портфелі компанії NWU, що є офіційним дистриб'ютором Tufin на території України. Завдяки чому у вас є можливість купити Tufin в Україні. Tufin Orchestration Suit є бажаним рішенням для SOC-команди будь-якої компанії України.
Купити Tufin або для більш детальної інформації та консультації щодо нового функціоналу Tufin TOS R24-2 звертайтесь на
Продукти Tufin