Inspección tráfico Norte-Sud
Cada vez más son las organizaciones que necesitan soluciones más completas y profundas para asegurar sus entornos VPC (Amazon Private Cloud).
Pero este tipo de soluciones incrementan la complejidad de las operaciones. Como resultado se apoyan en expertos de terceras organizaciones para delegar su seguridad.
AWS Gateway Load Balancer (GWLB) es un relativo nuevo servicio de AWS con cierto recorrido que hace más fácil el despliegue, escalabilidad y la gestión de appliances virtuales como firewalls, IPS, DPI en el cloud.
Usando un TGW (Transit Gateway) como punto central en la arquitectura, simplifica el routing para los clientes a la hora de tener que implementar una cantidad grande de VPCs. Con el servicio GWLB es fácil escalar para arriba o abajo el número de instancias de Fortigate-VM para encajar el volumen de tráfico que necesita ser inspeccionado.
Fortigate-VM integrado con GWLB es una combinación muy completa que ayuda a las organizaciones a desplegar las capacidades Next Generation Firewall en el cloud en alta disponibilidad, escalabilidad y balanceo de carga.
Principalmente se pueden distinguir dos tipos de caso de uso claves para asegurar una inspección del tráfico completa y que en MSANET CLOUD tenemos como referencia.
A continuación, se muestran un par de ejemplos con el detalle del transcurso del tráfico:
Inspección Norte-Sud
1-El tráfico de salida (en rojo) se inicia en las instancias de cliente y se enruta hacia el TGW.
2-El TGW dirige el tráfico al GWLB que se encarga de gestionar el balanceo de carga de tráfico entrante hacia las instancias de FGT-VM.
3-Estas realizan la inspección necesaria y envían de vuelta el tráfico hacia el GWLB.
4-Finalmente se enruta el tráfico desde el GWLB hacia el Internet Gateway para llegar a Internet.
1-El tráfico de entrada (en azul), entra por el IGW y se dirige al GWLB quien se encarga de balancear las peticiones entrantes hacia las instancias FGT-VM.
2-Una vez realizada la inspección del tráfico, este llega de vuelta al GWLB.
3-El GWLB envía el tráfico inspeccionado al TGW.
4-Finalmente, el TGW enruta el tráfico hacia las VPC de cliente donde se encuentran las instancias que son el destino final.
También se podría considerar la variante de tener una VPC separada y dedicada para la salida a Internet que la gestionaria cliente. Básicamente lo que deberíamos tener en cuenta es añadir esa VPC de navegación al TGW.