Sicherheitsupgrade für die Cloud: Erfolgreiche Implementierung von AWS Private Links
Die Herausforderung
Unser Kunde stand vor der Herausforderung, innerhalb seiner produktiven AWS Account Umgebungen, Zugriffe aus dem Internet an einem zentralen Übernahmepunkt bereit zu stellen, den eingehenden Trafik über Web Application Firewall Regeln zu analysieren und im Anschluss, die Zugriffsanforderungen an die Backend Systeme weiterzuleiten, welche ausschließlich in privaten Virtual Private Cloud (VPC) bereitgestellt werden.
Vorgeschlagene Lösung & Architektur
In enger Zusammenarbeit mit unserem Kunden haben wir eine Lösung zur Überwindung dieser Herausforderungen entwickelt. Die Umsetzung beinhaltete den Aufbau dedizierter Firewall- und Internetzugang-VPCs, um den eingehenden Internet-Access von den produktiven Backend Systemen zu entkoppeln.
Die Übergabe der eingehenden Anfragen über den externen Application Loadbalancer an die verarbeitenden Backend Systeme in den privaten Netzwerk Umgebungen erfolgt dann über die Implementierung der AWS Private Links.
AWS Private Links werden über zwei Komponenten definiert. Zum einen über den AWS Endpoint. Dies ist ein Netzwerk Interface in einem definierten Subnetz des Firewall VPC´s. Über AWS Security Gruppen ist definiert, über welche Kommunikationsports, in unserem Fall Port 443, entgegengenommen wird. Quelle ist dabei die Web Application Firewall im Firewall VPC.
Die zweite Komponente ist der zugehörige VPC Endpoint Service. Dieser stellt eine eindeutige Kommunikationsbeziehung zu einem AWS-Service innerhalb von AWS-Accounts und oder Account übergreifend bereit.
In unserem Szenario adressieren wir AWS Network Loadbalancer in den privaten Netzwerken und den Account übergreifend. Diese Lösung bietet den großen Vorteil, dass Kommunikationsbeziehungen auf Anwendungsebene (Layer 7) abgebildet werden und nicht, wie bei klassischen Verbindungen über Layer 4 (Protokoll Transport Schicht) da in diesem Fall, immer eine 1 zu1 Routing Verbindung eingerichtet werden muss.
Vorteile für unseren Kunden
Die erfolgreiche Implementierung führt zu einer verbesserten Gesamtsicherheit und Effizienz der Cloud-Infrastruktur des Kunden.
Konsolidierung externer Zugangspunkte
Durch die neue Architektur konnte eine Konsolidierung externer Zugangspunkte erreicht werden, was das Management vereinfacht, und die Sicherheit erhöht. Kommunikationsbeziehungen können auf Anwendungsebene beliebig innerhalb der AWS-Umgebungen verwaltet und eingerichtet werden.
Erhöhte Netzwerksicherheit
Die Isolierung der Kommunikation durch dedizierte Firewall- und Internetzugang-VPCs führt zu einer erheblichen Verbesserung der Netzwerksicherheit. Routing Verbindungen zwischen den Firewall und privaten Netzwerkumgebungen sind mit der Einrichtung von AWS Private Links nicht mehr notwendig.
Umsetzung von One-To-Many-Kommunikation auf Anwendungsebene
Die Lösung ermöglichte eine effiziente und sichere One-To-Many-Kommunikation auf Anwendungsebene, was die Skalierbarkeit und Leistungsfähigkeit erhöhten.
Fazit
Die erfolgreiche Umsetzung von Network Private Link hat nicht nur die Netzwerksicherheit unseres Kunden verbessert, sondern auch die Effizienz gesteigert. Durch die enge Zusammenarbeit und das erfolgreiche Projektmanagement konnte eine maßgeschneiderte Lösung implementiert werden, die den spezifischen Anforderungen und Herausforderungen unseres Kunden gerecht wird. Diese Erfahrung bestätigt unsere Kompetenz in der Entwicklung fortschrittlicher Lösungen für komplexe Cloud-Infrastrukturen.
