【AWS征文】AWS安全加固-Fortinet AWS 安全解决方案

作者:昱坤

在公有方案日益火爆的今天,公有应用越来越广泛。随之而来的,公有云也遇到了一些挑战:

 传统数据中心产品不一定支持云环境
 传统的产品不一定支持云弹性的部署以及模_ l , $ !块化的部署
 云架构的部署思路与传统物理环境部u g z C署环境完全不同
 传统的安全防护很难在多云环境提供统一安全解决方案
 遇到最多的问题就是:我们云环境} O B Y一定要和物理数据中心5 Q #架构一样

【AWS征文】AWS安全加固-Fortinet AWS 安全解决方案

而在企业进公有云迁移时对于安全和自动化的要求,AWS上有了新的安全自动部署方案:

【AWS征文】AWS安全加固-Fortinet AWS 安全解决方案

在该方案中,可以将防火B , + w e O v墙部署在Transit VPC中,以实现VPC与VPC间/VPC与Internet间等的安3 k 0 I G y全加固需求。此文仅介绍Fortinet AWS 的安全解决方d * 5案。

Fortinet云部署实例要求

如果要在A1 k / t A %WS上部署FortiGate-VM,那么7 R ! a d L Y实例需要满足以下要求:

【AWS征文】AWS安全加固-Fortinet AWS 安全解决方案

Fortinet常见云部署模式

针对AWS云上部署,Fortinet提供两种常见的部署方案:

  1. NGFW 和ELB部署形式

 两个AZ的FW与WAF工作在AA模式
 入向流量通过ELB负载分摊
 FW开启NGFW威胁检测功能
 FW将流量映射至内部ELB FQDN

【AWS征文】AWS安全加固-Fortinet AWS 安全解决方案

  1. NGFW以及WAF 和ELB部署形式

 FW] Q x / 1与WAF完全集成将HTTP转至WAF
 WAF对HTTP流量进深度检测
 WAF将HTTP流量K @ % C g映射至内部ELB

【AWS征文】AWS安全加固-Fortinet AWS 安全解决方案

在该部署模式下,三明治式的部署架构是部署WAF的最佳实践
 入向流量通过ALB负载,并基于内容分流;
 WAF专注于管理高级WEB安全配置;
 两种高级防御模式

• 黑名单
提供特征库防御,IP信誉库,HTTP协议规范,防病毒.DLP,高级防御规则,高级APT防护等功能

w c m u P B T 白名单
提供网站详细参数设定,扫描报告导入,应用自学,Bot机器学习,, i g K y 5 )参数机器学习等功能
云部署的高可用性

Fortinet云部署HA有两种方案U _ t p =:

方案一:

【AWS征文】AWS安全加固-Fortinet AWS 安全解决方案

 由于AWS VPC中不支持二层协议,所_ } I 2 D以不能在AWS中运行VRRP
 HA使用主备模式部署在相同AZ,心跳使用3层
 根据事件或SLA自动切换主备
 主备切换会自动调用AWS API,备设t . 8 / I F ) 4备将主设备上的secondary IP和EIP切换至备设备
 同时备设备将指向主设备网卡的下一条指向自己

方案二:

【AWS征文】AWS安全加固-Fortinet AWS 安全解决方案

 FortiGate部署在两个不通的可用区,子网信息并不相S H 5 B
 通过Fortinet利用AWS的原生服务AWS API Gateway、Cloudwatch、K [ p P HLambda构建了一套自动切换VPC路由表的解决方案
 当FortiGate自己发现故C 3 - j M W Y障,会通过联动API Gateway触发Lambda切换VPC路由表
 当Cl3 F $oud Watch发现设备故障,同样会触发Lambs , R e cda切换VPC路由表
自动扩展模式

【AWS征文】AWS安全加固-Fortinet AWS 安全解决方案

自动扩展模式:
 在面向公网侧部署NLB,保障公网IP可以透传到FortiG! O _ c 2 jate侧
 CloudWatch持续监控FortiGate CPU及MEM信息触发Lambda
 Lambda在Autoscale成员中增加FW并通过API通知FW同步配置
 FW同步完配置通过API通知LT g r % v U Q Dambda
 Lambda更新ELB配置
 DynamoG B P s 4 Y R o cDB存储Autoscaling 状态信息
 支持PAYG,Hybrid部署