本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Network
Amazon Network Firewall 是一项托管防火墙服务,可为亚马逊虚拟私有云 (VPC) 环境提供基本的网络保护。 Amazon Network Firewall 充当第一道防线,它过滤和检查所有进出 RISE 资源的网络流量,从而有效地在 RISE 环境周围创建保护边界。
Network Fire Amazon wall 的主要功能包括:
-
状态防火墙功能。 Amazon Network Firewall 提供高级状态防火墙功能,用于监控和控制网络流量。此功能可检测网络连接的完整上下文(包括源、目标、端口和协议),以检测并阻止恶意或未经授权的流量。
-
威胁签名匹配。 Amazon Network Firewall 预装了一套全面的威胁检测规则和签名,这些规则和签名会持续更新 Amazon,以识别和缓解针对 RISE 部署的已知威胁、恶意软件和其他恶意活动。
-
自定义规则定义。除了预定义的威胁特征外,客户还可创建并部署自定义防火墙规则,以符合 RISE 环境中 SAP 系统相关连接所特有的特定安全要求或策略。
-
集中式策略管理。 Amazon Network Firewall 允许集中定义和管理防火墙策略,然后可以轻松地在 VPCs 包括非 SAP 在内的多个防火墙策略中进行部署, VPCs 并 VPCs 与 SAP 管理的 RISE VPC 相关联,从而确保一致的安全执行。
-
可扩展性与高可用性。作为一项完全托管的服务, Amazon Network Firewall 可自动扩展以应对网络流量和模式的变化,从而确保无需复杂的基础架构管理即可保护RISE环境。
在 RISE 与 SAP 的背景下,可以利用 Amazon Network Firewall 实现以下目的:
-
集中式防火墙管理。 Amazon Network Firewall 提供集中式托管防火墙服务,用于控制和监控进出由 SAP 管理的 RISE VPC 的网络流量。
-
状态数据包检查。 Amazon Network Firewall 执行状态数据包检查,使其能够通过分析 RISE VPC 中的 to/from SAP 系统的网络连接环境来检测和缓解高级威胁。
-
监管合规。 Amazon Network Firewall 通过强制执行安全策略和为 RISE with SAP 环境提供 logging/auditing 功能,帮助组织满足合规性要求。
以下是 Network Fire Amazon wall 的示例架构,该架构在 SAP 网络流量到达 RISE 之前对其进行检查
在上图中
-
恶意行为者利用网络配置错误来获取对 RISE 上的 SAP 系统的访问权限。
-
流量首先通过 Tr Amazon ansit Gateway 路由。
-
Network Fire Amazon wall 的数据包检查可以捕获异常的连接尝试...
值得注意的是,想要使用通过Direct Connect首先 Amazon 连接到Tran Amazon sit Gateway托管的SAP BTP服务的客户也可以使用Network Fi Amazon rewall,这样他们就可以 end-to-end继续使用 Amazon 主干 Amazon 网络。
有关配置 Amazon 网络防火墙的说明,请参阅Amazon 网络防火墙入门。