AWS hálózati tervezés biztonságos szegregációval
A vállalkozásnak már volt némi jelenléte az AWS-en, számos szerveren, alkalmazáson és adatbázison. Amint az üzlet fejlődött, és a szolgáltatások bővítése és fejlesztése, valamint a kritikusabb alkalmazások áttelepítése az AWS Cloud-ba történt. A vállalat strukturáltabb megközelítést kívánt. A stratégia az alap, az alap megalapozása volt, ezért egy átfogó hálózat tervezésére bíztak bennünket, különös tekintettel a biztonsági szempontokra. A probléma az volt, hogy ha folytatják a jelenlegi beállítást, akkor a hálózat nem biztosítja az elvártakat, és a problémák tovább jelennek meg a sorban.
Vásárló
Objektív
Megemlítve, annak ellenére, hogy a vállalat némi jelenlétet folytatott a frankfurti AWS-ben, némi vita után arra a következtetésre jutottunk, hogy a legjobb megközelítés az lenne, ha egy üres vászonnal kezdjük, és az infrastruktúrát a semmiből tervezzük. A vállalat elég nagy helyszíni hálózati infrastruktúrával rendelkezett, és auditot hajtottunk végre.
Az alapvető cél egy biztonságos hálózati infrastruktúra megtervezése és megvalósítása volt az AWS Frankfurtban (a legközelebbi régióban), amely legalább további változások nélkül még egy évtizedig szolgálná a vállalatot.
Mi történt
Megértve a jelenlegi konfigurációjukat, átálltunk a tervezésre. A folyamat során újratervezzük a vállalat IP-sémáját, nem akartunk IP-ütközéseket vagy útválasztási problémákat. Az AWS VPC alapértelmezés szerint elég nagy hálózat, és sokkal kisebb hálózatokba véstük. Munkánk nagy része 70-80% -ban a tervezésre összpontosult, tapasztalatból tudtuk, hogy az ábrák, dokumentációk sokkal gördülékenyebb átmenetet biztosítanak az átalakítás során.
Mit szállítottunk a hatókörön belül:
- Magas szintű tervezés
- Alacsony szintű tervezés
- Átfogó IP-séma helyszíni és felhőhálózatokhoz
- Rugalmas felfelé irányuló kapcsolatot adtak hozzá a helyszíni és a felhő infrastruktúra között
- A VPC-t 200 (./24) hálózatba vésték, ezeknek körülbelül 85% -a privát, korlátozott hálózat volt, a fennmaradó rész pedig nyilvános / internetes.
- Kihasználtuk a Több rendelkezésre állási zónát, és az összes szolgáltatást ennek megfelelően osztottuk el
- A pályázatokat egyértelműen csoportokba osztották
- A biztonsági megközelítés nagyon szigorú volt a dedikált tűzfalakkal az IGW rétegben és a hálózaton belül
- F5 dedikált terheléselosztás és biztonság telepítve
- Felügyeleti blokkot hoztak létre a felhőben lévő szervezet számára
- A Multi-Facto hitelesítést minden alkalmazott számára érvényesítették
- Teljes tesztelés, mielőtt átadnák a műveleteknek
Teljesítmény
Telepítettük és integráltuk a Cloud infrastruktúrát az ügyfél számára. Szorosan együttműködtünk a házon belüli informatikai csapattal, hogy megbizonyosodjunk arról, hogy a teljes migráció sikeres volt-e, és elhárítsuk az esetleges ráncokat. Ez néhány hétvégén történt, és egy hónapos beágyazási időszak után az ügyfél megerősítette, hogy a projekt sikeresen megvalósult
