Déployer la solution d’évolutivité automatique Défense contre les menaces virtuelles sur AWS

Ce document explique comment déployer la solution d’évolutivité automatique défense contre les menaces virtuelles sur AWS.

À propos de la solution d’évolutivité automatique Défense contre les menaces virtuelles sur AWS

Les instances défense contre les menaces virtuelles déployées dans des environnements de nuage public tels qu’AWS prennent en charge les applications qui subissent des hausses et des baisses occasionnelles de trafic réseau. Un pic de trafic peut entraîner un scénario dans lequel le nombre d’instances virtuelles de défense contre les menaces déployées n’est pas suffisant pour inspecter le trafic réseau. Par ailleurs, une baisse de trafic peut entraîner l’inactivité des instances virtuelles de défense contre les menaces, ce qui entraînera des coûts opérationnels inutiles.

La solution d’évolutivité automatique aide les entreprises à augmenter automatiquement le nombre d’instances virtuelles de défense contre les menaces en cas de pic de trafic et à réduire le nombre d’instances en cas de panne de trafic. L’adoption d’une telle solution entraîne une gestion efficace des ressources réseau et réduit les coûts d’exploitation.

L’évolutivité automatique de défense contre les menaces virtuelles dans AWS est une mise en œuvre complètement sans serveur (aucune machine virtuelle d’assistant n’est impliquée dans l’automatisation de cette fonctionnalité) qui ajoute une capacité d’évolutivité automatique horizontale aux instances de défense contre les menaces virtuelles dans l’environnement AWS.

À partir de la version 6.4, la solution d’évolutivité automatique basée sur NLB (Network Load Balancer) est prise en charge sur défense contre les menaces virtuelles géré par le centre de gestion. À partir de la version 7.2, la solution d’évolutivité automatique basée sur l’équilibreur de charges de passerelle (GWLB) est également prise en charge.

Cisco fournit des modèles et des scripts CloudFormation pour le déploiement d’un groupe d’évolutivité automatique de pare-feu défense contre les menaces virtuelles à l’aide de plusieurs services AWS, notamment Lambda, les groupes d’évolutivité automatique, Elastic Load Balancing (ELB, équilibreur de charges élastique), les compartiments Amazon S3, SNS et CloudWatch.

La solution d’évolutivité automatique défense contre les menaces virtuelles est un déploiement basé sur un modèle CloudFormation qui fournit :

  • L’enregistrement et le désenregistrement d’instances défense contre les menaces virtuelles entièrement automatisés avec centre de gestion.

  • La politique de NAT, la politique d’accès et les routes sont automatiquement appliquées aux instances défense contre les menaces virtuelles soumises à l’évolutivité à la hausse.

  • Prise en charge des équilibreurs de charges et des zones de multi-disponibilité.

  • Fonctionne uniquement avec centre de gestion; gestionnaire d'appareil n’est pas pris en charge.

Améliorations apportées à l’évolutivité automatique (version 6.7)

  • Éditeur de mesure personnalisée : une nouvelle fonction Lambda interroge centre de gestion toutes les deux minutes sur l’utilisation de la mémoire de toutes les instances défense contre les menaces virtuelles du groupe d’évolutivité automatique, puis publie la valeur dans CloudWatch Metric.

  • Une nouvelle politique d’évolutivité basée sur l’utilisation de la mémoire est disponible.

  • Défense contre les menaces virtuelles connectivité IP privée pour SSH et Secure Tunnel (tunnel sécusirsé) vers centre de gestion.

  • Validation de la configuration Centre de gestion.

  • Prise en charge de l’ouverture d’un plus grand nombre de ports d’écoute sur ELB.

  • Modification pour le déploiement d'une pile unique. Toutes les fonctions Lambda et les ressources AWS sont déployées à partir d’une pile unique pour un déploiement rationalisé.

Solution d’évolutivité automatique avec NLB

Comme l'équilibreur de charges AWS autorise uniquement les connexions entrantes, seul le trafic externe est autorisé à passer à l'intérieur via le pare-feu virtuel Cisco Threat Defense.

L’équilibreur de charges Internet peut être un équilibreur de charges réseau ou un équilibreur de charges d’application. Toutes les exigences et conditions d’AWS sont remplies dans les deux cas. Comme l’indique l’exemple de topologie ci-dessous, le côté droit de la ligne pointillée est déployé par l’intermédiaire des modèles virtuels de défense contre les menaces. Le côté gauche est défini par l’utilisateur.


Remarque

Le trafic sortant initié par l’application ne passera pas par la solution virtuelle de défense contre les menaces.

La bipolation du trafic basée sur le port est possible. Cela peut être réalisé par l’intermédiaire de règles de NAT; consultez les sections Créer un objet hôte, Ajouter un groupe d'appareils, Configurer et déployer la politique NAT, Créer une politique de contrôle d'accès de base et Créer une politique de contrôle d'accès de base dans le centre de gestion. Par exemple, le trafic DNS LB sur Internet, Port: 80 peut être acheminé vers Application-1; le trafic Port: 88 peut être acheminé vers Application-2.

Exemple de topologie

Illustration 1. Défense contre les menaces virtuelles Solution d’évolutivité automatique avec NLB

Processus de bout en bout pour le déploiement d’une solution d’évolutivité automatique avec NLB

Le diagramme suivant illustre le flux de travail pour le déploiement de la solution à évolutivité automatique défense contre les menaces virtuelles avec NLB sur Amazon Web Services (AWS).

Espace de travail

Étapes

Hôte local

Téléchargez les fichiers requis à partir de GitHub

Console Amazon CloudFormation

Solution d'évolutivité automatique avec NLB : Personnaliser et déployer le modèle d'infrastructure NLB sur la console Amazon CloudFormation

Centre de gestion

Configurer l’infrastructure réseau dans le centre de gestion

Hôte local

Mettre à jour le fichier JSON de configuration

Hôte local

Configurer les éléments d’infrastructure à l’aide de l’interface de ligne de commande AWS

Hôte local

Créer un dossier cible

Hôte local

Charger des fichiers dans le compartiment Amazon S3

Console Amazon CloudFormation

Solution d'évolutivité automatique avec NLB : Déployer la solution d'évolutivité automatique avec NLB

Console Amazon EC2

Modifier le groupe d’évolutivité automatique

Console Amazon VPC

Configurer le routage pour VPC

Solution d’évolutivité automatique avec équilibreur de charges de la passerelle

L’équilibreur de charges de passerelle AWS (GWLB) permet les connexions entrantes et sortantes. Par conséquent, le trafic généré en interne et en externe est autorisé à traverser le pare-feu Défense contre les menaces virtuelles.

Le terminal GWLB envoie le trafic à la GWLB, puis à la solution de défense contre les menaces virtuelle pour inspection. Toutes les exigences et conditions d’AWS sont remplies dans tous les cas. Comme indiqué dans le diagramme des scénarios, le côté droit de la ligne pointillée est la solution virtuelle d’évolutivité automatique de GWLB pour la défense contre les menaces déployée par l'intermédiaire des modèles virtuels de défense contre les menaces. Le côté gauche est entièrement défini par l’utilisateur.

Exemple de topologie

Illustration 2. Défense contre les menaces virtuelles Solution d’évolutivité automatique avec GWLB

Processus de bout en bout pour le déploiement de la solution d’évolutivité automatique avec GWLB

Le diagramme suivant illustre le flux de travail pour le déploiement de la solution à évolutivité automatique défense contre les menaces virtuelles avec GWLB sur Amazon Web Services (AWS).

Espace de travail

Étapes

Hôte local

Téléchargez les fichiers requis à partir de GitHub

Console Amazon CloudFormation

Solution d'évolutivité automatique avec GWLB : Personnaliser et déployer le modèle d'infrastructure GWLB sur la console Amazon CloudFormation

Centre de gestion

Configurer l’infrastructure réseau dans le centre de gestion

Hôte local

Mettre à jour le fichier JSON de configuration

Hôte local

Configurer les éléments d’infrastructure à l’aide de l’interface de ligne de commande AWS

Hôte local

Créer un dossier cible

Hôte local

Charger des fichiers dans le compartiment Amazon S3

Console Amazon CloudFormation

Solution d'évolutivité automatique avec GWLB : Déployer la solution d'évolutivité automatique avec GWLB

Console Amazon EC2

Modifier le groupe d’évolutivité automatique

Console Amazon VPC

Évolutivité automatique avec la solution GWLB : Créer le terminal GWLB

Console Amazon VPC

Configurer le routage pour VPC

Lignes directrices et limites relatives à Défense contre les menaces virtuelles et à AWS

Licence

  • Le protocole BYOL (Bring Your Own License; apportez votre propre licence) est pris en charge avec un compte de licence Cisco Smart.

  • La licence PAYG (Pay As You Go) est un modèle de facturation basé sur l’utilisation qui permet au client d’exécuter le défense contre les menaces virtuelles sans avoir à acheter de licences Cisco Smart. Toutes les fonctionnalités sous licence (Malware/Threat/URL Filtering/VPN, etc.) sont activées pour un appareil défense contre les menaces virtuelles selon le modèle PAYG. Les fonctionnalités sous licence ne peuvent pas être modifiées ou changées à partir de centre de gestion (version 6.5 ou ultérieure).


    Remarque

    Les licences PAYG ne sont pas prises en charge sur les appareils défense contre les menaces virtuelles déployés en mode gestionnaire d'appareil.

Consultez le chapitre sur les licences du Guide d’administration du FMC pour connaître les consignes relatives à l’octroi de licences pour votre périphérique défense contre les menaces virtuelles.

Niveaux de performance pour les Licences Smart Défense contre les menaces virtuelles

Depuis la version 7.0.0 de Défense contre les menaces virtuelles, défense contre les menaces virtuelles prend en charge les licences par niveau de performance qui peuvent procurer différents niveaux de débit et limites de connexion de réseau privé virtuel (VPN) en fonction des exigences de déploiement.

Tableau 1. Défense contre les menaces virtuelles Limites des fonctionnalités sous licence en fonction des droits

Niveau de performance

Caractéristiques du périphérique (cœur/RAM)

Limite du débit

Limite de session RA VPN

FTDv5

4 cœurs/8 Go

100 Mbit/sec

50

FTDv10

4 cœurs/8 Go

1 Gbit/sec

250

FTDv20

4 cœurs/8 Go

3 Gbit/s

250

FTDv30

8 cœurs/16 Go

5 Gbit/s

250

FTDv50

12 cœurs/24 Go

10 Gbit/s

750

FTDv100

16 cœurs/34 Go

16 Gbit/s

10 000

Pratiques exemplaires

Prérequis

  • Un compte AWS. Vous pouvez en créer un à l’adresse http://aws.amazon.com/.

  • Un client SSH (par exemple, PuTTY sur Windows ou Terminal sur macOS) est requis pour accéder à la console virtuelle de défense contre les menaces.

  • Un compte Cisco Smart. Vous pouvez en créer un sur Cisco Software Central https://software.cisco.com/.

  • Un compte GitHub pour télécharger les fichiers et les modèles de configuration.

  • Exigences d’interface Défense contre les menaces virtuelles :

    • Interfaces de gestion (2) : une interface est utilisée pour connecter la solution virtuelle de défense contre les menaces au centre de gestion, la seconde est utilisée pour les diagnostics; elles ne peuvent pas être utilisées pour le trafic de transit.

    • Vous pouvez éventuellement configurer une interface de données pour la gestion du centre de gestion au lieu de l’interface de gestion. L’interface de gestion est une condition préalable à la gestion de l’interface de données, vous devez donc toujours la configurer dans votre configuration initiale. Notez que l’accès au centre de gestion à partir d’une interface de données n’est pas pris en charge dans les déploiements à haute accessibilité. Pour en savoir plus sur la configuration d’une interface de données pour l’accès au centre de gestion, consultez l’information sur la commande de configuration de l’interface de données de gestion de réseau dans la référence de commande FTD.

    • Interfaces de trafic (2) : utilisées pour connecter les solutions virtuelles de défense contre les menaces aux hôtes internes et au réseau public.

  • Chemins de communication : adresses IP publiques/élastiques pour l’accès au défense contre les menaces virtuelles.

Composants nécessaires à la mise en place de la solution d'évolutivité automatique avec GWLB ou NLB

Les composants suivants constituent la solution d’évolutivité automatique.

Modèle CloudFormation

Le modèle CloudFormation est utilisé pour déployer les ressources requises pour mettre en oeuvre la solution d’évolutivité automatique dans AWS. Le modèle comprend les éléments suivants :

  • Groupe d’évolutivité automatique, équilibreur de charges, groupes de sécurité et autres composants divers.

  • Le modèle prend en compte les données des utilisateurs pour personnaliser le déploiement.


    Remarque

    Le modèle a des limites pour la validation des entrées des utilisateurs. Il est donc de la responsabilité de l’utilisateur de valider les entrées pendant le déploiement.

Fonctions Lambda

La solution d’évolutivité automatique est un ensemble de fonctions Lambda développées en Python, qui sont déclenchées à partir de crochets de cycle de vie, de SNS et d’événements/alarmes CloudWatch. Voici les fonctionnalités de base :

  • Ajouter/Supprimer les interfaces Diag, Gig 0/0 et Gig 0/1 à l’instance.

  • Enregistrez l’interface Gig 0/1 dans les groupes cibles de l’équilibreur de charges.

  • Enregistrez un nouveau défense contre les menaces virtuelles avec le centre de gestion.

  • Configurez et déployez un nouveau défense contre les menaces virtuelles via centre de gestion.

  • Annulez l’enregistrement (supprimez) un défense contre les menaces virtuelles faisant l’objet d’une évolutivité à la baisse de centre de gestion.

  • Publiez la mesure de mémoire à partir du centre de gestion.

Les fonctions Lambda sont fournies au client sous la forme d’un progiciel Python.

Crochets de cycle de vie

  • Les crochets de cycle de vie sont utilisés pour obtenir une notification de modification de cycle de vie d’une instance.

  • Dans le cas du lancement d’une instance, un crochet de cycle de vie est utilisé pour déclencher une fonction Lambda qui peut ajouter des interfaces à l’instance défense contre les menaces virtuelles et enregistrer les adresses IP d’interface externe aux groupes cibles.

  • Dans le cas de la résiliation d’une instance, un crochet de cycle de vie est utilisé pour déclencher une fonction Lambda afin d’annuler l’enregistrement de l’instance défense contre les menaces virtuelles du groupe cible.

Service de notification simple (SNS)

  • Le service de notification simple (SNS) d’AWS est utilisé pour générer des événements.

  • En raison de la limitation liée à l’absence d’orchestrateur adapté aux fonctions Lambda sans serveur dans AWS, la solution utilise SNS comme type de chaînage de fonctions pour orchestrer les fonctions Lambda selon les événements.

VPC

Vous devez créer le VPC selon les besoins de votre application. Il est prévu que le VPC ait une passerelle Internet avec au moins un sous-réseau associé à une route vers Internet. Consultez les sections appropriées pour connaître les exigences des groupes de sécurité, des sous-réseaux, etc.

Groupes de sécurité

Toutes les connexions sont autorisées dans le modèle de groupe d’évolutivité automatique fourni. Vous n’avez besoin que des connexions suivantes pour que la solution d’évolutivité automatique fonctionne.

Port

Usage

Sous-réseau

8305

Connexion sécurisée du tunnel du centre de gestion à Threat Defense Virtual

Sous-réseaux de gestion

Port de sonde d’intégrité (par défaut : 8080)

Sondes d’intégrité de l’équilibreur de charges Internet

Sous-réseaux externe, interne

Ports d’application

Transit de données des applications

Sous-réseaux externe, interne

Groupes de sécurité ou ACL pour l’instance du centre de gestion

Ceux-ci sont requis pour autoriser les connexions HTTPS entre les fonctions Lambda et le centre de gestion. Étant donné que les fonctions Lambda doivent être conservées dans les sous-réseaux Lambda ayant une passerelle NAT comme voie de routage par défaut, le centre de gestion doit être autorisé à avoir des connexions HTTPS entrantes à partir de l’adresse IP de la passerelle de NAT.

Sous-réseaux

Des sous-réseaux peuvent être créés selon les besoins de l’application. La mise en œuvre de la défense contre les menaces virtuelle nécessite trois sous-réseaux pour fonctionner.


Remarque

Si la prise en charge de plusieurs zones de disponibilité est nécessaire, des sous-réseaux sont nécessaires pour chaque zone, car les sous-réseaux sont des propriétés zonées dans le nuage AWS.

Sous-réseau externe

Le sous-réseau externe doit avoir une route par défaut avec « 0.0.0.0/0 » vers la passerelle Internet. Celui contiendra l‘interface externe de la solution de défense contre les menaces virtuelles; NLB sur Internet se trouvera également dans ce sous-réseau.

Sous-réseau interne

Celui-ci peut être semblable aux sous-réseaux d’application, avec ou sans passerelle NAT/Internet. Veuillez noter que pour les sondes d’intégrité de la solution de défense contre les menaces virtuelles, il devrait être possible d’atteindre le serveur de métadonnées AWS (169.254.169.254) par le port 80.


Remarque

Dans cette solution d’évolutivité automatique, les sondes d’intégrité de l’équilibreur de charges sont redirigées vers le serveur de métadonnées AWS par l’intermédiaire de l’interface interne/Gig0/0. Cependant, vous pouvez le modifier en utilisant votre propre application pour assurer les connexions de sonde d’intégrité envoyées à la solution de défense contre les menaces virtuelles à partir de l’équilibreur de charges. Dans ce cas, vous devez remplacer l’objet du serveur de métadonnées AWS par l’adresse IP de l’application pour fournir la réponse des sondes d’intégrité.

Management Subnet (sous-réseau de gestion)

Ce sous-réseau comprend l’interface de gestion de la solution de défense contre les menaces virtuelles. Si vous utilisez le centre de gestion sur ce sous-réseau, l’attribution d’une adresse IP Elastic (EIP) à la solution de défense contre les menaces virtuelles est facultative. L’interface de diagnostic se trouve également sur ce sous-réseau.

Sous-réseaux Lambda

La fonction AWS Lambda nécessite deux sous-réseaux ayant la passerelle de NAT comme passerelle par défaut. Cela rend la fonction Lambda privée pour le VPC. Les sous-réseaux Lambda ne doivent pas être aussi larges que les autres sous-réseaux.

Sous-réseaux d’application

Aucune restriction n’est imposée sur ce sous-réseau par la solution d’évolutivité automatique, mais si l’application a besoin de connexions sortantes en dehors du VPC, des voies de routage respectives doivent être configurées sur le sous-réseau. En effet, le trafic initié vers la sortie ne passe pas par les équilibreurs de charges. Pour en savoir plus sur le sujet, consultez le Guide de l’utilisateur de l’équilibrage de charges élastiques d’AWS.

Composants sans serveur

Compartiment S3

Amazon Simple Storage Service (Amazon S3) est un service de stockage d’objets qui offre une évolutivité, une disponibilité des données, une sécurité et des performances de pointe. Vous pouvez placer tous les fichiers requis dans le compartiment S3.

Lorsque des modèles sont déployés, des fonctions Lambda sont créées en référençant les fichiers zip dans le compartiment S3. Par conséquent, le compartiment S3 devrait être accessible au compte d’utilisateur.

Modèles CloudFormation sur GitHub

Deux ensembles de modèles sont fournis pour les solutions d’évolutivité automatique prises en charge : un ensemble pour la configuration de la solution d’évolutivité automatique à l’aide d’un équilibreur de charges de réseau (NLB) et un autre ensemble pour la configuration de la solution d’évolutivité automatique à l’aide d’un équilibreur de charges de passerelle (GWLB).

Solution d’évolutivité automatique avec équilibreur de charges de réseau

Les modèles suivants sont disponibles sur GitHub :

Tableau 2. Liste de paramètres du modèle

Paramètre

Type/valeurs autorisés

Description

Numéro de module (PodNumber)

Modèle autorisé de la chaîne : '^\d{1,3}$'

Voici le numéro de module (pod). Ce suffixe sera ajouté au nom du groupe d’évolutivité automatique (threat defense virtual-Groupe-Nom). Par exemple, si cette valeur est « 1 », le nom du groupe sera threat defense virtual-Groupe-Nom-1.

Il doit comporter au moins 1 chiffre numérique, mais pas plus de 3 chiffres. Par défaut : 1.

AutoscaleGRPNamePrefix

Chaîne

Il s’agit du préfixe du nom du groupe d’évolutivité automatique. Le numéro de module (pod) sera ajouté en tant que suffixe.

Maximum : 18 caractères

Exemple : Cisco-Threat Defense virtual-1.

NotifyEmailID

Chaîne

Les événements de l’évolutivité automatique seront envoyés à cette adresse courriel. Vous devez accepter une demande d’abonnement par courriel.

Exemple : admin@societe.com.

VpcId

Chaîne

L’ID du VPC dans lequel l’appareil doit être déployé. Il doit être configuré conformément aux exigences d’AWS.

Type : AWS::EC2::VPC::Id

Si le fichier « infrastructure.yaml » est utilisé pour déployer l’infrastructure, la section de sortie de la pile aura cette valeur. Veuillez utiliser cette valeur.

LambdaSubnets

Liste

Les sous-réseaux dans lesquels les fonctions Lambda seront déployées.

Type: List<AWS::EC2::Subnet::Id>

Si le fichier « infrastructure.yaml » est utilisé pour déployer l’infrastructure, la section de sortie de la pile aura cette valeur. Veuillez utiliser cette valeur.

LambdaSG

Liste

Les groupes de sécurité pour les fonctions Lambda.

Type: List<AWS::EC2::SecurityGroup::Id>

Si le fichier « infrastructure.yaml » est utilisé pour déployer l’infrastructure, la section de sortie de la pile aura cette valeur. Veuillez utiliser cette valeur.

S3BktName

Chaîne

Le nom du compartiment S3 pour les fichiers. Il doit être configuré dans votre compte conformément aux exigences d’AWS.

Si le fichier « infrastructure.yaml » est utilisé pour déployer l’infrastructure, la section de sortie de la pile aura cette valeur. Veuillez utiliser cette valeur.

LoadBalancerType

Chaîne

Le type d’équilibreur de charges Internet, « application » ou « network » (réseau).

Exemple : application

LoadBalancerSG

Chaîne

Les groupes de sécurité pour l’équilibreur de charges. Dans le cas d’un équilibreur de charges réseau, il ne sera pas utilisé. Mais vous devez fournir un ID de groupe de sécurité.

Type: List<AWS::EC2::SecurityGroup::Id>

Si le fichier « infrastructure.yaml » est utilisé pour déployer l’infrastructure, la section de sortie de la pile aura cette valeur. Veuillez utiliser cette valeur.

LoadBalancerPort

Nombre entier

Le port de l’équilibreur de charges. Ce port sera ouvert sur LB avec le protocole HTTP/HTTPS ou TCP/TLS, en fonction du type d’équilibreur de charges choisi.

Assurez-vous que le port est un port TCP valide, il sera utilisé pour créer l’écouteur de l’équilibreur de charges.

Par défaut : 80

SSLcertificate

Chaîne

 L’ARN du certificat SSL pour les connexions de port sécurisées. S’il n’est pas précisé, un port ouvert sur l’équilibreur de charges sera TCP/HTTP. S’il est précisé, un port ouvert sur l’équilibreur de charges sera TLS/HTTPS.

TgHealthPort

Nombre entier

Ce port est utilisé par le groupe cible pour les sondes d’intégrité. Les sondes d’intégrité provenant de ce port sur Threat Defense Virtual seront acheminées vers le serveur de métadonnées AWS et ne devraient pas être utilisées pour le trafic. Il doit s’agir d’un port TCP valide.

Si vous souhaitez que votre application réponde aux sondes d’intégrité, les règles de NAT peuvent être modifiées en conséquence pour Threat Defense Virtual. Dans ce cas, si l’application ne répond pas, la solution Threat Defense Virtual sera marquée comme non intègre (Unhealthy) et supprimée en raison de l’alarme de seuil d’instance Non intègre.

Exemple : 8080

AssignPublicIP

Booléen

Si la valeur est sélectionnée comme « true » (vraie), une adresse IP publique sera attribuée. Dans le cas d’une solution virtuelle de défense contre les menaces suivant le protocole BYOL, vous devez vous connecter à https://tools.cisco.com.

Exemple : TRUE (vrai)

Type d’instance

Chaîne

L’Amazon Machine Image (AMI) prend en charge différents types d’instances, qui déterminent la taille de l’instance et la quantité de mémoire requise.

Seuls les types d’instances AMI qui prennent en charge Threat Defense Virtual doivent être utilisés.

Exemple : c4.2xlarge

LicenseType

Chaîne

Le type de licence de solution virtuelle de défense contre les menaces : BYOL ou PAYG. Assurez-vous que l’ID AMI associé est du même type de licence.

Exemple : BYOL

AmiId

Chaîne

L’ID d’AMI virtuel de défense contre les menaces (soit un ID d’AMI Cisco valide).

Type: AWS::EC2::Image::Id

Veuillez choisir le bon ID AMI en fonction de la région et de la version souhaitée de l’image. La fonctionnalité d’évolutivité automatique prend en charge les images BYOL/PAYG de version 6.4 et ultérieures. Dans les deux cas, vous devriez avoir accepté une licence sur le Marché AWS.

Dans le cas de BYOL, veuillez mettre à jour la clé « licenseCaps » dans le profil de configuration JSON avec des fonctionnalités telles que « BASE », « MALWARE » (programme malveillant), « Threat » (menace), « URLFilter » (filtre d’URL), etc.

NoOfAZs

Nombre entier

Le nombre de zones de disponibilité que la solution doit traverser, entre 1 et 3. Dans le cas d’un déploiement ALB, la valeur minimale est de 2, comme l’exige AWS.

Exemple : 2

ListOfAzs

Chaîne séparée par des virgules

Une liste de zones séparées par des virgules dans l’ordre.

Remarque

 

L’ordre dans lequel elles sont énumérées est important. Les listes de sous-réseaux doivent être données dans le même ordre.

Si le fichier « infrastructure.yaml » est utilisé pour déployer l’infrastructure, la section de sortie de la pile aura cette valeur. Veuillez utiliser cette valeur.

Exemple : us-east-1a, us-east-1b, us-east-1c

MgmtInterfaceSG

Chaîne

Le groupe de sécurité pour l’interface de gestion virtuelle de défense contre les menaces.

Type: List<AWS::EC2::SecurityGroup::Id>

Si le fichier « infrastructure.yaml » est utilisé pour déployer l’infrastructure, la section de sortie de la pile aura cette valeur. Veuillez utiliser cette valeur.

InsideInterfaceSG

Chaîne

Le groupe de sécurité pour l’interface interne de la solution virtuelle de défense contre les menaces.

Type: AWS::EC2::SecurityGroup::Id

Si le fichier « infrastructure.yaml » est utilisé pour déployer l’infrastructure, la section de sortie de la pile aura cette valeur. Veuillez utiliser cette valeur.

OutsideInterfaceSG

Chaîne

Le groupe de sécurité pour l’interface externe de la solution virtuelle de défense contre les menaces.

Type: AWS::EC2::SecurityGroup::Id

Si le fichier « infrastructure.yaml » est utilisé pour déployer l’infrastructure, la section de sortie de la pile aura cette valeur. Veuillez utiliser cette valeur.

Exemple : sg-0c190a824b22d52bb

MgmtSubnetId

Liste séparée par des virgules

Une liste d’ID de sous-réseau de gestion séparés par des virgules. La liste doit être dans le même ordre que les zones de disponibilité correspondantes.

Type: List<AWS::EC2::SecurityGroup::Id>

Si le fichier « infrastructure.yaml » est utilisé pour déployer l’infrastructure, la section de sortie de la pile aura cette valeur. Veuillez utiliser cette valeur.

InsideSubnetId

Liste séparée par des virgules

Une liste d’ID de sous-réseau interne/Gig0/0 séparés par des virgules. La liste doit être dans le même ordre que les zones de disponibilité correspondantes.

Type: List<AWS::EC2::SecurityGroup::Id>

Si le fichier « infrastructure.yaml » est utilisé pour déployer l’infrastructure, la section de sortie de la pile aura cette valeur. Veuillez utiliser cette valeur.

OutsideSubnetId

Liste séparée par des virgules

Une liste d’ID de sous-réseau externe/Gig0/1 séparés par des virgules. La liste doit être dans le même ordre que les zones de disponibilité correspondantes.

Type: List<AWS::EC2::SecurityGroup::Id>

Si le fichier « infrastructure.yaml » est utilisé pour déployer l’infrastructure, la section de sortie de la pile aura cette valeur. Veuillez utiliser cette valeur.

KmsArn

Chaîne

L’ARN d’un KMS existant (clé AWS KMS à chiffrer au repos). S’ils sont précisés, les mots de passe du centre de gestion et de la solution de défense contre les menaces virtuelles doivent être chiffrés. Le chiffrement du mot de passe doit être effectué uniquement à l’aide de l’ARN précisé.

Exemple de génération de mot de passe chiffré : « aws kms encrypt --key-id <ARN KMS> --plaintext <password> ». Veuillez utiliser les mots de passe générés, comme indiqué.

Exemple : arn:aws:kms:us-east-1:[Compte AWS]:key/7d586a25-5875-43b1-bb68-a452e2f6468e

ngfwPassword

Chaîne

Toutes les instances virtuelles de défense contre les menaces ont un mot de passe par défaut, qui est saisi dans le champ Userdata (données utilisateur) du modèle de lancement (groupe d’évolutivité automatique).

Cette entrée remplacera le mot de passe par le nouveau mot de passe fourni une fois que la solution virtuelle de défense contre les menaces sera accessible.

Utilisez un mot de passe en texte brut si l’ARN KMS n’est pas utilisé. Si l’ARN KMS est utilisé, un mot de passe chiffré doit être utilisé.

Exemple : Cisco123789! ou AQIAgcQFAGtz/hvaxMtJvY/x/rfHnI3lPpSXU

fmcServer

Chaîne numérique

L’adresse IP de gestion du centre de gestion, qui est accessible à la fois aux fonctions Lambda et à l’interface de gestion de la solution virtuelle de défense contre les menaces.

Exemple : 10.10.17.21

fmcOperationsUsername

Chaîne

L’administrateur réseau ou l’utilisateur privilégié supérieur créé lors de la gestion du centre de gestion. Consultez l’information sur la création des utilisateurs et les rôles dans le Guide de configuration de Cisco Secure Firewall Management Center.

Exemple : apiuser-1

fmcOperationsPassword

Chaîne

Utilisez un mot de passe en texte brut si l’ARN KMS n’est pas mentionné. S’il est mentionné, un mot de passe chiffré doit être utilisé.

Exemple : Cisco123@ ou AQICAHgcQAtz/hvaxMtJvY/x/rnKI3clFPpSXUHQRnCAajB

fmcDeviceGrpName

Chaîne

Le nom du groupe de périphériques du centre de gestion.

Exemple : AWS-Cisco-NGFW-VMs-1

7fmcPerformanceLicenseTier

Chaîne

La licence par niveau de performance utilisée lors de l’enregistrement du périphérique défense contre les menaces virtuelles sur le centre de gestion virtuel.

Valeurs autorisées : FTDv/FTDv5/FTDv10/FTDv20/FTDv30/FTDv50/FTDv100

fmcPublishMetrics

Booléen

Si la valeur est « TRUE » (vrai), une fonction Lambda sera créée. Elle s’exécute une fois toutes les deux minutes pour récupérer la consommation de mémoire des capteurs de la solution virtuelle de défense contre les menaces enregistrés dans le groupe d’appareils fourni.

Valeurs autorisées : TRUE (vrai), FALSE (faux)

Exemple : TRUE (vrai)

fmcMetricsUsername

Chaîne

Le nom d’utilisateur unique du centre de gestion pour la publication des mesures dans AWS CloudWatch. Consultez l’information sur la création des utilisateurs et les rôles dans le Guide de configuration de Cisco Secure Firewall Management Center.

Si « fmcPublishMetrics » est défini sur « FALSE » (faux), il n’est pas nécessaire de fournir cette entrée.

Exemple : publisher-1

fmcMetricsPassword

Chaîne

Le mot de passe du centre de gestion pour la publication des mesures dans AWS CloudWatch. Utilisez un mot de passe en texte brut si l’ARN KMS n’est pas mentionné. S’il est mentionné, un mot de passe chiffré doit être utilisé.

Si « fmcPublishMetrics » est défini sur « FALSE » (faux), il n’est pas nécessaire de fournir cette entrée.

Exemple : Cisco123789!

CpuThresholds

Nombres entiers séparés par des virgules

Le seuil inférieur et le seuil supérieur pour l’UC. La valeur minimale est de 0 et la valeur maximale est de 99.

Par défaut : 10, 70

Veuillez noter que le seuil inférieur doit être inférieur au seuil supérieur.

Exemple : 30, 70

MemoryThresholds

Nombres entiers séparés par des virgules

Le seuil inférieur et le seuil supérieur pour la mémoire. La valeur minimale est de 0 et la valeur maximale est de 99.

Par défaut : 40, 70

Veuillez noter que le seuil inférieur doit être inférieur au seuil supérieur. Si le paramètre « fmcPublishMetrics » est défini sur « FALSE » (faux), cela n’a aucun effet.

Exemple : 40, 50

Solution d’évolutivité automatique avec équilibreur de charges de la passerelle

Les modèles suivants sont disponibles sur GitHub :

Tableau 3. Liste de paramètres du modèle

Paramètre

Type/valeurs autorisés

Description

Numéro de module (PodNumber)

Chaîne

Modèle autorisé : '^\d{1,3}$'

Voici le numéro de module (pod). Ce suffixe sera ajouté au nom du groupe d’évolutivité automatique (défense contre les menaces virtuelles-Nom-Groupe). Par exemple, si cette valeur est « 1 », le nom de groupe sera défense contre les menaces virtuelles-Nom-Groupe-1.

Il doit comporter au moins 1 chiffre numérique, mais pas plus de 3 chiffres. Par défaut : 1

AutoscaleGRPNamePrefix

Chaîne

Il s’agit du préfixe du nom du groupe d’évolutivité automatique. Le numéro de module (pod) sera ajouté en tant que suffixe.

Maximum : 18 caractères

Exemple : Cisco-défense contre les menaces virtuelles-1

NotifyEmailID

Chaîne

Les événements de l’évolutivité automatique seront envoyés à cette adresse courriel. Vous devez accepter une demande d’abonnement par courriel.

Exemple : admin@company.com

VpcId

Chaîne

L’ID du VPC dans lequel l’appareil doit être déployé. Il doit être configuré conformément aux exigences d’AWS.

Type : AWS::EC2::VPC::Id

Si le fichier « infrastructure.yaml » est utilisé pour déployer l’infrastructure, la section de sortie de la pile aura cette valeur. Veuillez utiliser cette valeur.

LambdaSubnets

Liste

Les sous-réseaux dans lesquels les fonctions Lambda seront déployées.

Type: List<AWS::EC2::Subnet::Id>

Si le fichier « infrastructure.yaml » est utilisé pour déployer l’infrastructure, la section de sortie de la pile aura cette valeur. Veuillez utiliser cette valeur.

LambdaSG

Liste

Les groupes de sécurité pour les fonctions Lambda.

Type: List<AWS::EC2::SecurityGroup::Id>

Si le fichier « infrastructure.yaml » est utilisé pour déployer l’infrastructure, la section de sortie de la pile aura cette valeur. Veuillez utiliser cette valeur.

S3BktName

Chaîne

Le nom du compartiment S3 pour les fichiers. Il doit être configuré dans votre compte conformément aux exigences d’AWS.

Si le fichier « infrastructure.yaml » est utilisé pour déployer l’infrastructure, la section de sortie de la pile aura cette valeur. Veuillez utiliser cette valeur.

LoadBalancerType

Chaîne

Le type d’équilibreur de charges Internet, « application » ou « network » (réseau).

Exemple : application

LoadBalancerSG

Chaîne

Les groupes de sécurité pour l’équilibreur de charges. Dans le cas d’un équilibreur de charges réseau, il ne sera pas utilisé. Mais vous devez fournir un ID de groupe de sécurité.

Type: List<AWS::EC2::SecurityGroup::Id>

Si le fichier « infrastructure.yaml » est utilisé pour déployer l’infrastructure, la section de sortie de la pile aura cette valeur. Veuillez utiliser cette valeur.

LoadBalancerPort

Nombre entier

Le port de l’équilibreur de charges. Ce port sera ouvert sur LB avec le protocole HTTP/HTTPS ou TCP/TLS, en fonction du type d’équilibreur de charges choisi.

Assurez-vous que le port est un port TCP valide, il sera utilisé pour créer l’écouteur de l’équilibreur de charges.

Par défaut : 80

SSLcertificate

Chaîne

L’ARN du certificat SSL pour les connexions de port sécurisées. S’il n’est pas précisé, un port ouvert sur l’équilibreur de charges sera TCP/HTTP. S’il est précisé, un port ouvert sur l’équilibreur de charges sera TLS/HTTPS.

TgHealthPort

Nombre entier

Ce port est utilisé par le groupe cible pour les sondes d’intégrité. Les sondes d’intégrité provenant de ce port sur défense contre les menaces virtuelles seront acheminées vers le serveur de métadonnées AWS et ne devraient pas être utilisées pour le trafic. Il doit s’agir d’un port TCP valide.

Si vous souhaitez que votre application réponde aux sondes d’intégrité, les règles de NAT peuvent être modifiées en conséquence pour défense contre les menaces virtuelles. Dans ce cas, si l’application ne répond pas, défense contre les menaces virtuelles sera marqué comme non intègre et supprimé en raison de l’alarme de seuil d’instance non intègre.

Exemple : 8080

AssignPublicIP

Booléen

Si la valeur est sélectionnée comme « true » (vraie), une adresse IP publique sera attribuée. Dans le cas d’un défense contre les menaces virtuelles de type BYOL, vous devez vous connecter à https://tools.cisco.com.

Exemple : TRUE (vrai)

InstanceType

Chaîne

L’Amazon Machine Image (AMI) prend en charge différents types d’instances, qui déterminent la taille de l’instance et la quantité de mémoire requise.

Seuls les types d’instances AMI qui prennent en charge défense contre les menaces virtuelles doivent être utilisés.

Exemple : c4.2xlarge

LicenseType

Chaîne

Le type de licence défense contre les menaces virtuelles, BYOL ou PAYG. Assurez-vous que l’ID AMI associé est du même type de licence.

Exemple : BYOL

AmiId

Chaîne

L’ID AMI d’défense contre les menaces virtuelles (un ID AMI de Cisco défense contre les menaces virtuelles valide).

Type: AWS::EC2::Image::Id

Veuillez choisir le bon ID AMI en fonction de la région et de la version souhaitée de l’image. La fonctionnalité d’évolutivité automatique prend en charge les images BYOL/PAYG de version 6.4 et ultérieures. Dans les deux cas, vous devriez avoir accepté une licence sur le Marché AWS.

Dans le cas de BYOL, veuillez mettre à jour la clé « licenseCaps » dans le profil de configuration JSON avec des fonctionnalités telles que « BASE », « MALWARE » (programme malveillant), « Threat » (menace), « URLFilter » (filtre d’URL), etc.

NoOfAZs

Nombre entier

Le nombre de zones de disponibilité que défense contre les menaces virtuelles doit traverser, entre 1 et 3. Dans le cas d’un déploiement ALB, la valeur minimale est de 2, comme l’exige AWS.

Exemple : 2

ListOfAzs

Chaîne séparée par des virgules

Une liste de zones séparées par des virgules dans l’ordre.

Remarque

 

L’ordre dans lequel elles sont énumérées est important. Les listes de sous-réseaux doivent être données dans le même ordre.

Si le fichier « infrastructure.yaml » est utilisé pour déployer l’infrastructure, la section de sortie de la pile aura cette valeur. Veuillez utiliser cette valeur.

Exemple : us-east-1a, us-east-1b, us-east-1c

MgmtInterfaceSG

Chaîne

Le groupe de sécurité pour l’interface de gestion de défense contre les menaces virtuelles.

Type: List<AWS::EC2::SecurityGroup::Id>

Si le fichier « infrastructure.yaml » est utilisé pour déployer l’infrastructure, la section de sortie de la pile aura cette valeur. Veuillez utiliser cette valeur.

InsideInterfaceSG

Chaîne

Le groupe de sécurité pour l’interface interne de défense contre les menaces virtuelles.

Type: AWS::EC2::SecurityGroup::Id

Si le fichier « infrastructure.yaml » est utilisé pour déployer l’infrastructure, la section de sortie de la pile aura cette valeur. Veuillez utiliser cette valeur.

OutsideInterfaceSG

Chaîne

Le groupe de sécurité pour l’interface externe de défense contre les menaces virtuelles.

Type: AWS::EC2::SecurityGroup::Id

Si le fichier « infrastructure.yaml » est utilisé pour déployer l’infrastructure, la section de sortie de la pile aura cette valeur. Veuillez utiliser cette valeur.

Exemple : sg-0c190a824b22d52bb

MgmtSubnetId

Liste séparée par des virgules

Une liste d’ID de sous-réseau de gestion séparés par des virgules. La liste doit être dans le même ordre que les zones de disponibilité correspondantes.

Type: List<AWS::EC2::SecurityGroup::Id>

Si le fichier « infrastructure.yaml » est utilisé pour déployer l’infrastructure, la section de sortie de la pile aura cette valeur. Veuillez utiliser cette valeur.

InsideSubnetId

Liste séparée par des virgules

Une liste d’ID de sous-réseau interne/Gig0/0 séparés par des virgules. La liste doit être dans le même ordre que les zones de disponibilité correspondantes.

Type: List<AWS::EC2::SecurityGroup::Id>

Si le fichier « infrastructure.yaml » est utilisé pour déployer l’infrastructure, la section de sortie de la pile aura cette valeur. Veuillez utiliser cette valeur.

OutsideSubnetId

Liste séparée par des virgules

Une liste d’ID de sous-réseau externe/Gig0/1 séparés par des virgules. La liste doit être dans le même ordre que les zones de disponibilité correspondantes.

Type: List<AWS::EC2::SecurityGroup::Id>

Si le fichier « infrastructure.yaml » est utilisé pour déployer l’infrastructure, la section de sortie de la pile aura cette valeur. Veuillez utiliser cette valeur.

KmsArn

Chaîne

L’ARN d’un KMS existant (clé AWS KMS à chiffrer au repos). S’ils sont spécifiés, les mots de passe centre de gestion et défense contre les menaces virtuelles doivent être chiffrés. Le chiffrement du mot de passe doit être effectué uniquement à l’aide de l’ARN précisé.

Exemple de génération de mot de passe chiffré : « aws kms encrypt --key-id <ARN KMS> --plaintext <password> ». Veuillez utiliser les mots de passe générés, comme indiqué.

Exemple : arn:aws:kms:us-east-1:[Compte AWS]:key/7d586a25-5875-43b1-bb68-a452e2f6468e

ngfwPassword

Chaîne

Toutes les instances défense contre les menaces virtuelles ont un mot de passe par défaut, qui est saisi dans le champ Userdata (données utilisateur) du modèle de lancement (groupe d’évolutivité automatique).

Cette entrée remplacera le mot de passe par le nouveau mot de passe fourni une fois que le défense contre les menaces virtuelles sera accessible.

Utilisez un mot de passe en texte brut si l’ARN KMS n’est pas utilisé. Si l’ARN KMS est utilisé, un mot de passe chiffré doit être utilisé.

Exemple : Cisco123789! ou AQIAgcQFAGtz/hvaxMtJvY/x/rfHnI3lPpSXU

fmcServer

Chaîne numérique

L’adresse IP de gestion du centre de gestion, qui est accessible à la fois aux fonctions Lambda et à l’interface de gestion de défense contre les menaces virtuelles.

Exemple : 10.10.17.21

fmcOperationsUsername

Chaîne

L’administrateur réseau ou l’utilisateur privilégié supérieur créé lors de la gestion du centre de gestion. Consultez les renseignements sur la création des utilisateurs et des rôles dans le Guide de configuration Cisco Secure Firewall Management Center Device.

Exemple : apiuser-1

fmcOperationsPassword

Chaîne

Utilisez un mot de passe en texte brut si l’ARN KMS n’est pas mentionné. S’il est mentionné, un mot de passe chiffré doit être utilisé.

Exemple : Cisco123@ ou AQICAHgcQAtz/hvaxMtJvY/x/rnKI3clFPpSXUHQRnCAajB

fmcDeviceGrpName

Chaîne

Le nom du groupe d’appareils du centre de gestion.

Exemple : AWS-Cisco-NGFW-VMs-1

7fmcPerformanceLicenseTier

Chaîne

La licence par niveau de performance utilisée lors de l’enregistrement du périphérique défense contre les menaces virtuelles sur le centre de gestion virtuel.

Valeurs autorisées : FTDv/FTDv20/FTDv30/FTDv50/FTDv100

Remarque

 

Les licences de niveau de performance FTDv5 et FTDv10 ne sont pas prises en charge par l’équilibreur de charges de passerelle AWS.

fmcPublishMetrics

Booléen

Si la valeur est « TRUE » (vrai), une fonction Lambda sera créée. Elle s’exécute une fois toutes les 2 minutes pour récupérer la consommation de mémoire des capteurs défense contre les menaces virtuelles enregistrés dans le groupe d’appareils fourni.

Valeurs autorisées : TRUE (vrai), FALSE (faux)

Exemple : TRUE (vrai)

fmcMetricsUsername

Chaîne

Nom d’utilisateur centre de gestion unique pour la publication des mesures dans AWS CloudWatch. Consultez les renseignements sur la création des utilisateurs et des rôles dans le Guide de configuration Cisco Secure Firewall Management Center Device.

Si « fmcPublishMetrics » est défini sur « FALSE » (faux), il n’est pas nécessaire de fournir cette entrée.

Exemple : publisher-1

fmcMetricsPassword

Chaîne

Le mot de passe centre de gestion pour la publication des mesures dans AWS CloudWatch. Utilisez un mot de passe en texte brut si l’ARN KMS n’est pas mentionné. S’il est mentionné, un mot de passe chiffré doit être utilisé.

Si « fmcPublishMetrics » est défini sur « FALSE » (faux), il n’est pas nécessaire de fournir cette entrée.

Exemple : Cisco123789!

CpuThresholds

Nombres entiers séparés par des virgules

Le seuil inférieur et le seuil supérieur pour l’UC. La valeur minimale est de 0 et la valeur maximale est de 99.

Par défaut : 10, 70

Veuillez noter que le seuil inférieur doit être inférieur au seuil supérieur.

Exemple : 30, 70

MemoryThresholds

Nombres entiers séparés par des virgules

Le seuil inférieur et le seuil supérieur pour la mémoire. La valeur minimale est de 0 et la valeur maximale est de 99.

Par défaut : 40, 70

Veuillez noter que le seuil inférieur doit être inférieur au seuil supérieur. Si le paramètre « fmcPublishMetrics » est défini sur « FALSE » (faux), cela n’a aucun effet.

Exemple : 40, 50

Télécharger les fichiers requis et les CFT de GitHub sur votre hôte local

Téléchargez le dossier lambda-python-files à partir de GitHub. Ce dossier contient les fichiers suivants :

  • Les fichiers Python (.py) utilisés pour créer la couche lambda.

  • Un fichier configuration.json utilisé pour ajouter des routes statiques et personnaliser des paramètres réseau, au besoin.

Téléchargez les modèles Cloud Formation suivants à partir de GitHub :

  • Modèles pour la solution d’évolutivité automatique (Auto Scale) avec NLB-

    • infrastructure_gwlb.yml  : Utilisé pour personnaliser les composants dans l’environnement AWS.

    • deploy_ngfw_autoscale_with_gwlb.uaml – Utilisé pour déployer la solution AWS Autoscale avec GWLB.

  • Modèles pour la solution d’évolutivité automatique (Auto Scale) avec GWLB-

    • infrastructure_gwlb.yml  : Utilisé pour personnaliser les composants dans l’environnement AWS.

    • deploy_ngfw_autoscale_with_gwlb.uaml – Utilisé pour déployer la solution AWS Autoscale avec GWLB.


Remarque

Collectez des valeurs pour les paramètres de modèle, dans la mesure du possible. Cela facilitera la saisie rapide des valeurs lors du déploiement des modèles sur la console de gestion AWS.

Solution d'évolutivité automatique avec NLB : Personnaliser et déployer le modèle d'infrastructure NLB sur la console Amazon CloudFormation

Effectuez les étapes données dans cette section si vous déployez la solution d’évolutivité automatique avec NLB.

Procédure

Étape 1

Sur la console AWS Management Console, accédez à Services > Management and Governance (gestion et gouvernance) > CloudFormation et cliquez sur Create stack > With new resources(standard) (créer une pile avec de nouvelles ressources - standard).

Étape 2

Choisissez Upload a template file (téléverser un fichier de modèle), cliquez sur Choose file (choisir un fichier) et sélectionnez infrastructure.yaml dans le dossier dans lequel vous avez téléchargé les fichiers.

Étape 3

Cliquez sur Next (suivant).

Étape 4

Dans la page Specify stack details (précisez les détails de la pile), saisissez un nom pour la pile.

Étape 5

Indiquez les valeurs pour les paramètres d’entrée dans le modèle infrastructure.yaml.

Étape 6

Cliquez sur Next (suivant).

Étape 7

Cliquez sur Next (suivant) dans la fenêtre Configure Stack Options (configurer les options de pile).

Étape 8

Dans la page Review (examen), passez en revue et confirmez les paramètres.

Étape 9

Cliquez sur Create Stack (créer une pile) pour déployer le modèle infrastructure.yaml et créer la pile.

Étape 10

Une fois le déploiement terminé, accédez aux résultats et notez le nom de compartiment S3 (S3 Bucket Name).

Solution d'évolutivité automatique avec GWLB : Personnaliser et déployer le modèle d'infrastructure GWLB sur la console Amazon CloudFormation

Effectuez les étapes présentées dans cette section si vous déployez la solution d’évolutivité automatique à l’aide de GWLB.

Procédure

Étape 1

Sur la console AWS Management Console, accédez à Services > Management and Governance (gestion et gouvernance) > CloudFormation et cliquez sur Create stack > With new resources(standard) (créer une pile avec de nouvelles ressources - standard).

Étape 2

Choisissez Upload a template file (téléverser un fichier de modèle), cliquez sur Choose file (choisir un fichier) et sélectionnez infrastructure_gwlb.uaml dans le dossier dans lequel vous avez téléchargé les fichiers.

Étape 3

Cliquez sur Next (suivant).

Étape 4

Dans la page Specify stack details (précisez les détails de la pile), saisissez un nom pour la pile.

Étape 5

Indiquez les valeurs pour les paramètres d’entrée dans le modèle infrastructure_gwlb.yaml.

Étape 6

Cliquez sur Next (suivant).

Étape 7

Cliquez sur Next (suivant) dans la fenêtre Configure Stack Options (configurer les options de pile).

Étape 8

Dans la page Review (examen), passez en revue et confirmez les paramètres.

Étape 9

Cliquez sur Create Stack (créer une pile) pour déployer le modèle infrastructure_gwlb.yaml et créer la pile.

Étape 10

Une fois le déploiement terminé, accédez aux résultats et notez le nom de compartiment S3 (S3 Bucket Name).

Configurer l’infrastructure réseau dans le centre de gestion

Créez et configurez des groupes de périphériques, des objets, un port de contrôle d’intégrité, la politique de NAT et des politiques d’accès dans le centre de gestion pour Threat Defense Virtual enregistré.

Vous pouvez gérer Threat Defense Virtual à l’aide du centre de gestion, un gestionnaire multipériphérique complet sur un serveur distinct. La solution virtuelle de défense contre les menaces s’enregistre et communique avec le centre de gestion sur l’interface de gestion que vous avez attribuée à la machine virtuelle de défense contre les menaces.

Consultez la section À propos de Cisco Secure Firewall Threat Defense Virtual avec Cisco Secure Firewall Management Center pour en savoir plus.

Tous les objets utilisés pour la configuration de Threat Defense Virtual doivent être créés par l’utilisateur.


Important

Un groupe de périphérique doit être créé et des règles doivent y être appliquées. Toutes les configurations appliquées sur le groupe d’appareils sont transmises aux instances Threat Defense Virtual.

Ajouter un groupe de périphériques

Le centre de gestion vous permet de regrouper des périphériques afin de pouvoir déployer facilement des politiques et installer les mises à jour sur plusieurs périphériques. Vous pouvez développer et réduire la liste des périphériques du groupe.

Procédure

Étape 1

Choisissez Devices (périphériques) > Device Management (gestion des périphériques).

Étape 2

Dans le menu déroulant Add (ajouter), choisissez Add Group (ajouter un groupe).

Étape 3

Pour modifier un groupe existant, cliquez sur Edit (icône de modification) à côté du groupe que vous souhaitez modifier.

Étape 4

Saisissez un nom (Name).

Étape 5

Sous les périphériques disponibles, choisissez un ou plusieurs périphériques à ajouter au groupe de périphériques. Utilisez la touche Ctrl ou la touche Maj tout en cliquant pour choisir plusieurs périphériques.

Étape 6

Cliquez sur Add (ajouter) pour inclure les périphériques que vous avez choisis dans le groupe de périphériques.

Étape 7

Cliquez sur OK pour ajouter le groupe de périphériques.

Créez un objet hôte

Avant de commencer

Vous devez créer un objet hôte lorsque vous utilisez l’équilibreur de charges de réseau (NLB) AWS. Cependant, il n’est pas nécessaire de créer un objet hôte dans AWS lors de l’utilisation de l’équilibreur de charges de passerelle (GWLB), car ce dernier assure une insertion transparente des services.

Procédure

Étape 1

Connectez-vous au centre de gestion.

Étape 2

Choisissez Objects (objets) > Object Management (gestion des objets).

Étape 3

Sélectionnez Network (réseau) dans la liste des types d'objets.

Étape 4

Sélectionnez Add Object (ajouter un objet) dans le menu déroulant Add Network (ajouter un réseau).

Étape 5

Saisissez un nom (Name).

Étape 6

Saisissez une description.

Étape 7

Dans le champ Network (réseau), sélectionnez l’option Host (hôte) et saisissez les valeurs suivantes.

  1. Nom du type d’objet aws-netadata-server.

  2. Selon le type de protocole d’hôte, saisissez l’adresse IP suivante pour IPv4 - 169.254.169.254.

Étape 8

Cliquez sur Save (enregistrer).

Créer un objet de port

Avant de commencer

Vous devez créer un objet de port lorsque vous utilisez l’équilibreur de charges de réseau (NLB) AWS. Cependant, il n’est pas nécessaire de créer un objet de port dans AWS lors de l’utilisation de l’équilibreur de charges de passerelle (GWLB), car ce dernier assure une insertion transparente des services.

Procédure

Étape 1

Connectez-vous au centre de gestion.

Étape 2

Choisissez Objects (objets) > Object Management (gestion des objets).

Étape 3

Sélectionnez PortL dans la liste des types d'objets.

Étape 4

Sélectionnez Add Object (ajouter un objet) dans le menu déroulant Add Port (ajouter un port).

Étape 5

Saisissez un nom (Name).

Étape 6

Choisissez un protocole. Vous devez choisir le protocole que vous avez saisi pour le type d’objet hôte. Selon le protocole que vous avez choisi, limitez par port ou choisissez un type et un code ICMP .

Étape 7

Saisissez 8080. Notez que vous pouvez personnaliser le numéro de port que vous saisissez ici selon vos besoins.

Remarque

 

Vous devez restreindre l’objet par port si vous avez choisi de mettre en correspondance tous les protocoles, en utilisant la liste déroulante Other (autre).

Étape 8

Cliquez sur Save (enregistrer).

Créer des objets de zone de sécurité et de groupe d’interface

Procédure

Étape 1

Choisissez Objects (objets) > Object Management (gestion des objets).

Étape 2

Sélectionnez Interface dans la liste des types d'objets.

Étape 3

Cliquez sur Add > Security Zone ou Add > Interface Group pour ajouter une zone de sécurité ou un groupe d’interfaces.

Étape 4

Saisissez un nom - inside-sz/outside-sz.

Étape 5

Choisissez un le type d'interface avec routage (Interface Type - Routed).

Étape 6

Cliquez sur Save (enregistrer).

Activer le port pour la sonde de vérification de l’intégrité

Vous pouvez activer le port 22 (SSH) ou le port 443 (HTTP) pour la sonde de contrôle d’intégrité.

Activer le port 22 (SSH) pour la sonde de vérification de l’intégrité

Si vous utilisez le port 22 (SSH) pour la sonde de vérification de l’intégrité, effectuez la procédure suivante pour activer le port pour celle-ci.

Procédure

Étape 1

Choisissez Devices (périphériques) > Platform Settings (paramètres de la plateforme) > HTTP Access (accès HTTP).

Étape 2

Cliquez sur + Add (ajouter).

Étape 3

Sélectionnez toute adresse IP appropriée dans la liste déroulante.

Étape 4

Dans la fenêtre Available Zones/Interfaces (zones et interfaces disponibles), sélectionnez l’interface externe connectée à GWLB ou au sous-réseau externe.

Étape 5

Cliquez sur Add pour ajouter cette interface à la fenêtre des zones et des interfaces sélectionnées (Selected Zones/Interfaces).

Étape 6

Cliquez sur OK.

Étape 7

Cliquez sur Save (enregistrer).

Activer le port 443 (HTTP) pour la sonde de vérification de l’intégrité

Si vous utilisez le port 443 (HTTP) pour la sonde de vérification de l’intégrité, effectuez la procédure suivante pour activer le port pour celle-ci.

Procédure

Étape 1

Choisissez Devices (périphériques) > Platform Settings (paramètres de la plateforme) > HTTP Access (accès HTTP).

Étape 2

Cochez la case Enable HTTP Server (activerle serveur HTTP).

Étape 3

Saisissez 443 dans le champ Port.

Étape 4

Cliquez sur + Add (ajouter).

Étape 5

Sélectionnez l’adresse IP appropriée dans la liste déroulante.

Étape 6

Dans la fenêtre Available Zones/Interfaces (zones et interfaces disponibles), sélectionnez l’interface externe connectée à GWLB ou au sous-réseau externe.

Étape 7

Cliquez sur Add pour ajouter cette interface à la fenêtre des zones et des interfaces sélectionnées (Selected Zones/Interfaces).

Étape 8

Cliquez sur OK.

Étape 9

Cliquez sur Save (enregistrer).

Solution d’évolutivité automatique avec NLB - Configurer et déployer la politique de traduction d’adresses réseau (NAT)

Une règle NAT typique convertit les adresses internes en un port sur l’adresse IP de l’interface externe. Ce type de règle NAT est appelé interface Port Address Translation (PAT). Consultez la section sur la configuration de la NAT dans Gestion de Cisco Secure Firewall Threat Defense Virtual avec Cisco Secure Firewall Management Center pour en savoir plus sur la politique de NAT.

Une règle obligatoire est requise dans votre politique de NAT. Un exemple de règle de NAT est donné ci-dessous :

  • Zone source : zone externe

  • Zone de destination : zone interne

  • Sources originales : any-ipv4

  • Port source d'origine : d'origine/par défaut

  • Destinations d'origine : interface

  • Port de destination d’origine (Original-destination-port) : 8080 ou tout port d’intégrité configuré par l’utilisateur

  • Sources traduites (Translated-sources) : any-ipv4

  • Port source traduite : d'origine/par défaut

  • Destination traduite (Translated-destination) : aws- metadata-server

  • Port de destination traduit (Translated-destination-port:) : 80/HTTP

De même, toutes les règles de NAT (traduction d’adresses réseau) de trafic de données peuvent être ajoutées, de sorte que cette configuration sera transmise aux périphériques virtuels de défense contre les menaces.


Important

La politique de NAT créée doit être appliquée sur le groupe d’appareils. La validation du centre de gestion à partir de la fonction Lambda le vérifie.

Procédure

Étape 1

Ouvrez une session dans le Cisco Secure Firewall Management Center

Étape 2

Dans le menu Devices (périphériques), cliquez sur NAT.

Étape 3

Cliquez sur New Policy > Threat Defense NAT pour créer une nouvelle politique de NAT de défense contre les menaces.

Étape 4

Saisissez le nom (Name) et la description de la politique de NAT.

Étape 5

Cliquez sur Save (enregistrer).

Vous pouvez voir une nouvelle politique ajoutée et répertoriée dans la page de NAT.

Étape 6

Cliquez sur Add Rule (ajouter une règle).

Étape 7

Sélectionnez la règle NAT manuelle (Manual NAT Rule) dans la liste déroulante NAT Rule.

Étape 8

Sélectionnez In Category (catégorie) et la NAT Rule (règle de NAT) avant (Before) dans la liste déroulante Insert (insérer).

Étape 9

Sélectionnez Static (statique) dans la liste déroulante (Type).

Étape 10

Saisissez une description.

Étape 11

Dans le menu Interface Objects (objets d'interface), ajoutez les objets de source et de destination.

Étape 12

Dans le menu Translations (traduction), ajoutez les valeurs suivantes pour chaque paramètre.

Paramètre

Valeurs

Source d'origine

any-ipv4

Destinations d'origine

Adresse

Port source original

HTTP

Port de destination original

8080

Source traduite

any-ipv4

Port source traduit

D’origine/par défaut

Destination traduite

aws-metadata-server

Port de destination traduit

80/HTTP

Étape 13

Cliquez sur Save (enregistrer) pour enregistrer et ajouter la règle.

Étape 14

Sélectionnez la nouvelle règle que vous avez créée à déployer sur Threat Defense Virtual.

Étape 15

Cliquez sur Deploy (déployer) > Deployment (déploiement) afin de déployer la politique sur les appareils attribués. Les modifications ne sont actives que lorsque vous les déployez.

Créer une politique de contrôle d'accès de base

Configurez le contrôle d’accès pour autoriser le trafic de l'intérieur vers l'extérieur. Une politique d’accès peut être créée avec toutes les politiques requises. L‘objet de port d‘intégrité doit être autorisé de sorte que le trafic sur ce port soit autorisé à atteindre la destination. Consultez la section sur la configuration du contrôle d’accès dans le document sur la Gestion de Cisco Secure Firewall Threat Defense Virtual avec Cisco Secure Firewall Management Center pour en savoir plus sur la politique d’accès.

Lorsque vous créez une politique de contrôle d’accès, elle contient les actions et les paramètres par défaut. Après avoir créé la politique, vous êtes immédiatement placé dans une session de modification afin de pouvoir ajuster la politique selon vos besoins.

Procédure

Étape 1

Sélectionnez Policies > Access Control (contrôle d'accès).

Étape 2

Cliquez sur New Policy (nouvelle politique).

Étape 3

Saisissez un nom unique et une description.

Étape 4

Précisez l’action par défaut (Default Action) initiale : Block all traffic (bloquer tout le trafic).

Étape 5

Cliquez sur Save (enregistrer).

Étape 6

Cliquez sur l’icône Edit (modifier) de la nouvelle politique que vous avez créée.

Étape 7

Cliquez sur Add Rule (ajouter une règle).

Étape 8

Définissez les paramètres suivants :

  • Name (nom) : interne vers externe

  • Insert (insérer) : into Mandatory (dans obligatoire)

  • Action : Allow (autoriser)

  • Ajoutez une zone source et une zone de destination.

Étape 9

Cliquez sur Apply (appliquer).

Mettre à jour le fichier JSON de configuration

Le fichier configuration.json se trouve dans le dossier ambda_python_files que vous avez téléchargé à partir de GitHub. Mettez à jour les paramètres dans le fichier configuration.json avec les paramètres que vous avez configurés dans le centre de gestion. Veuillez noter que la clé JSON ne doit pas être modifiée.

Les scripts du fichier configuration.json sont les suivants.

{
  "licenseCaps": ["BASE", "MALWARE", "THREAT"],   //Management center virtual licenses 
  "fmcIpforDeviceReg": "DONTRESOLVE",   //Management center virtual IP address 
  "RegistrationId": "cisco",  //Registration ID used while configuring the manager in the Threat defense virtual
  "NatId": "cisco",  //NAT ID used while configuring the manager in the Threat defense virtual
  "fmcAccessPolicyName": "aws-asg-policy",  //Access policy name configured in the Management center virtual
  "fmcNatPolicyName": "AWS-Cisco-NGFW-VMs",  //NAT Policy name configured in the Management center virtual (Not required for GWLB-based deployment)
  "fmcInsideNicName": "inside", //Threat defense virtual inside interface name
  "fmcOutsideNicName": "outside", //Threat defense virtual outside interface name
  "fmcInsideNic": "GigabitEthernet0/0", //Threat defense virtual inside interface NIC Name - GigabitEthernet for c4 instance types, and TenGigabitEthernet for c5 instance types)
  "fmcOutsideNic": "GigabitEthernet0/1", //Threat defense virtual outside interface NIC Name - GigabitEthernet for c4 instance types, and TenGigabitEthernet for c5 instance types
  "fmcOutsideZone": "Outside-sz", //Outside Interface security zone name that is set in the Management center virtual
  "fmcInsideZone": "Inside-sz", //Inside Interface security zone name that is set in the Management center virtual
  "MetadataServerObjectName": "aws-metadata-server", //Host object name created for the IP 169.254.169.254 in the Management center virtual  (Not required for GWLB-based deployment)
  "interfaceConfig": [
    {
      "managementOnly": "false",
      "MTU": "1500",
      "securityZone": {
        "name": "Inside-sz"
      },
      "mode": "NONE",
      "ifname": "inside",
      "name": "GigabitEthernet0/0"
    },
    {
      "managementOnly": "false",
      "MTU": "1500",
      "securityZone": {
        "name": "Outside-sz"
      },
      "mode": "NONE",
      "ifname": "outside",
      "name": "GigabitEthernet0/1"
    }
  ],  //Interface-related configuration
  "trafficRoutes": [
    {
      "interface": "inside",
      "network": "any-ipv4",
      "gateway": "",
      "metric": "1"
    }
  ] //This traffic route is used for the Threat defense virtual instance's health check
}

Vous pouvez configurer des routes statiques pour Threat Defense Virtual en modifiant le paramètre trafficRoutes dans ce fichier. Un exemple de configuration de route statique est donné ci-dessous. 

{
      "interface": "inside",
      "network": "any-ipv4",
      "gateway": "",
      "metric": "1"
 }

Configurer les éléments d’infrastructure à l’aide de l’interface de ligne de commande AWS

Les modèles ne créent pas la couche Lambda et les mots de passe chiffrés pour la solution virtuelle de défense contre les menaces et le centre de gestion. Configurez ces composants en suivant les procédures ci-dessous. Consultez l’information sur l’interface de ligne de commande AWS pour de plus amples renseignements sur le sujet.

Créer le fichier Zip de la couche Lambda pour gérer les ressources informatiques

Créez un dossier Python sur votre hôte Linux, puis créez la couche Lambda.

Procédure

Étape 1

Créez un dossier Python final dans votre hôte Linux, tel que Ubuntu 22.04.

Étape 2

Installez Python 3.9 sur votre hôte Linux. Un exemple de script pour installer Python 3.9 est donné ci-dessous.

$ sudo apt update
$ sudo apt install software-properties-common
$ sudo add-apt-repository ppa:deadsnakes/ppa
$ sudo apt install python3.9
$ sudo apt install python3-virtualenv
$ sudo apt install zip
$ sudo apt-get install python3.9-distutils
$ sudo apt-get install python3.9-dev
$ sudo apt-get install libffi-dev

Étape 3

Créez un fichier zip de couche lambda, autoscale_layer.zip, dans votre environnement Linux. Ce fichier fournit des bibliothèques Python essentielles pour les fonctions Lambda.

Exécutez les scripts suivants pour créer le fichier autoscale_layer.zip. 

#!/bin/bash
mkdir -p layer
mkdir -p python
virtualenv -p /usr/bin/python3.9 ./layer/
source ./layer/bin/activate
pip3 install attrs==23.1.0
pip3 install bcrypt==3.2.2
pip3 install certifi==2022.12.7
pip3 install cffi==1.15.1
pip3 install chardet==3.0.4
pip3 install cryptography==2.9.1
pip3 install idna==2.10
pip3 install jsonschema==3.2.0
pip3 install paramiko==2.7.1
pip3 install pycparser==2.21
pip3 install pycryptodome==3.15.0
pip3 install PyNaCl==1.5.0
pip3 install pyrsistent==0.19.3
pip3 install requests==2.23.0
pip3 install scp==0.13.2
pip3 install six==1.16.0
pip3 install urllib3==1.25.11
echo "Copy from ./layer directory to ./python\n"
cp -r ./layer/lib/python3.9/site-packages/* ./python/
zip -r autoscale_layer.zip ./python

Remarque

 

Si vous rencontrez une erreur de conflit de dépendances lors de l’installation, comme une erreur liée à urllib3 ou une erreur de cryptographie, il est recommandé d’inclure les paquets en conflit ainsi que leurs versions recommandées. Après cela, vous pouvez exécuter à nouveau l’installation pour résoudre le conflit.

Étape 4

Après avoir créé le fichier autoscale_layer.zip, copiez le fichier autoscale_layer.zip dans le dossier lambda-python-files téléchargé à partir de GitHub.

(Facultatif) Créer les mots de passe chiffrés pour la solution virtuelle de défense contre les menaces et le centre de gestion.

Si une valeur d’ARN KMS a été saisie dans le fichier de modèle infrastructure_gwlb.yaml, les mots de passe que vous avez configurés dans le centre de gestion et la solution virtuelle de défense contre les menaces doivent être chiffrés. Consultez la section sur la recherche de l’ID de clé et de l’ARN de la clé pour identifier l’ARN de clé à l’aide de la console AWS KMS. Sur votre hôte local, chiffrez le mot de passe en exécutant la prochaine commande de l’interface de ligne de commande AWS. 

$ aws kms encrypt --key-id <KMS-ARN> --plaintext 
'MyC0mplIc@tedProtect1oN'
{
    "KeyId": "KMS-ARN", 
    "CiphertextBlob": 
"AQICAHgcQFAGtz/hvaxMtJvY/x/rfHnKI3clFPpSXUU7HQRnCAFwfXhXH
JAHL8tcVmDqurALAAAAajBoBgkqhki
G9w0BBwagWzBZAgEAMFQGCSqGSIb3DQEHATAeBglghkgBZQMEAS4wEQQM45
AIkTqjSekX2mniAgEQgCcOav6Hhol
+wxpWKtXY4y1Z1d0z1P4fx0jTdosfCbPnUExmNJ4zdx8="
}
$

La valeur de « CipherexBlob » est le mot de passe chiffré. Utilisez ce mot de passe comme valeur du paramètre NGFWv Password (mot de passe virtuel NGFWv) ou du FMC Password for AutoScale Automation (mot de passe FMC pour l’automatisation automatique, soit le mot de passe du centre de gestion) dans le fichier infrastructure_gwlb.yaml. Vous pouvez également utiliser ce mot de passe comme valeur du mot de passe FMC pour la publication des mesures dans CloudWatch.

Créer un dossier cible

Sur l’hôte local, utilisez la commande ci-dessous pour créer un dossier cible contenant les fichiers qui doivent être chargés dans le compartiment Amazon S3.

python3 make.py build

Cela crée un dossier nommé « target » (cible) sur votre hôte local. Le dossier cible contient les fichiers zip et yml nécessaires pour le déploiement de la solution d’évolutivité automatique.

Charger des fichiers dans le compartiment Amazon S3

Sur l’hôte local, utilisez les commandes ci-dessous pour téléverser tous les fichiers du répertoire cible dans le compartiment Amazon S3.

$ cd ./target

$ aws s3 cp . s3://<bucket-name> --recursive

Solution d'évolutivité automatique avec NLB : Déployer la solution d'évolutivité automatique avec NLB

Effectuez les étapes données dans cette section si vous déployez la solution d’évolutivité automatique avec NLB.

Procédure

Étape 1

Sur la console de gestion AWS, accédez à Services > Management and Gouvernance (gestion et gouvernance) > CloudFormation > Stacks, puis cliquez sur la pile créée par le modèle.

Étape 2

Cliquez sur Create stack > with new ressources(Standard) (créer une pile avec de nouvelles ressources - standard).

Étape 3

Sélectionnez Upload a template file (choisir un fichier modèle), cliquez sur Choose File (choisir un fichier), puis sélectionnez deploy_ngfw_autoscale.yaml dans le dossier cible.

Étape 4

Cliquez sur Next (suivant).

Étape 5

Dans la page Specify stack details (précisez les détails de la pile), saisissez un nom pour la pile.

Étape 6

Indiquez les valeurs pour les paramètres d’entrée dans le modèle deploy_ngfw_autoscale.yaml.

Étape 7

Cliquez sur Next (suivant) dans la fenêtre Configure Stack Options (configurer les options de pile).

Étape 8

Dans la page Review (examen), passez en revue et confirmez les paramètres.

Étape 9

Cliquez sur Create Stack (créer une pile) pour déployer le modèle deploy_ngfw_autoscale.yaml et créer la pile.

Cela termine le déploiement des deux modèles nécessaires à la configuration de la solution d’évolutivité automatique pour la défense contre les menaces virtuelle avec NLB.

Solution d'évolutivité automatique avec GWLB : Déployer la solution d'évolutivité automatique avec GWLB

Effectuez les étapes données dans cette section si vous déployez la solution d’évolutivité automatique avec GWLB.

Procédure

Étape 1

Sur la console de gestion AWS, accédez à Services > Management and Gouvernance (gestion et gouvernance) > CloudFormation > Stacks, puis cliquez sur la pile créée par le modèle.

Étape 2

Cliquez sur Create stack > with new ressources(Standard) (créer une pile avec de nouvelles ressources - standard).

Étape 3

Sélectionnez Upload a template file (choisir un fichier modèle), cliquez sur Choose File (choisir un fichier), puis sélectionnez deploy_ngfw_autoscale_with_gwlb.yaml dans le dossier cible.

Étape 4

Cliquez sur Next (suivant).

Étape 5

Dans la page Specify stack details (précisez les détails de la pile), saisissez un nom pour la pile.

Étape 6

Indiquez les valeurs pour les paramètres d’entrée dans le modèle deploy_ngfw_autoscale_with_gwlb.yaml.

Étape 7

Cliquez sur Next (suivant) dans la fenêtre Configure Stack Options (configurer les options de pile).

Étape 8

Dans la page Review (examen), passez en revue et confirmez les paramètres.

Étape 9

Cliquez sur Create Stack (créer une pile) pour déployer le modèle deploy_ngfw_autoscale_with_gwlb.yaml et créer la pile.

Cela termine le déploiement des deux modèles nécessaires à la configuration de la solution d’évolutivité automatique pour la défense contre les menaces virtuelle avec GWLB.

Évolutivité automatique avec la solution GWLB : Créer le terminal GWLB

Effectuez les étapes présentées dans cette section si vous déployez la solution d’évolutivité automatique à l’aide de GWLB.

Procédure

Étape 1

Sur la console de gestion AWS, accédez à Services, > Networking & Content Delivery (mise en réseau et production de contenu) > VPC > Endpoint Services (services de point terminal).

Étape 2

Cliquez sur Create Endpoint Service (créer un service de point terminal).

Étape 3

Sous Load balancer type (type d’équilibreur de charge), sélectionnez Gateway (passerelle).

Étape 4

Sous Available Load Balancers (équilibreurs de charge disponibles), choisissez l’équilibreur de charge de passerelle qui a été créé dans le cadre du déploiement de l’évolutivité automatique.

Étape 5

Sous Require version for endpoint (requête d’acceptation pour le point terminal), sélectionnez Acceptance needed (acceptation requise). Cela garantit que vous devez accepter manuellement toutes les demandes de connexion de service de terminal.

Étape 6

Sous Supported IP address types (types d’adresses IP pris en charge), choisissez IPv4.

Étape 7

Cliquez sur Create (créer).

Étape 8

Copiez le nom de service du service de terminal nouvellement créé.

Étape 9

Accédez à Services > Networking & Content Delivery (mise en réseau et production de contenu) > VPC > Endpoint Services (services de point terminal).

Étape 10

Cliquez sur Create Endpoint (créer un terminal).

Étape 11

Sous Service Category (catégorie de service), choisissez Other Endpoint Services (autres services de point terminal).

Étape 12

Dans le champ Service name (nomde service), saisissez le nom du service, puis sélectionnez Verify service (Vérifier le service).

Étape 13

Dans le champ VPC, sélectionnez le VPC dans lequel créer le terminal.

Étape 14

Sous Subnets (sous-réseaux), sélectionnez le sous-réseau dans lequel créer le terminal.

Étape 15

Pour le type d’adresse IP, choisissez l’option IPv4 pour attribuer des adresses IPv4 aux interfaces réseau du terminal.

Étape 16

Cliquez sur Create Endpoint (créer un terminal).

Configurer le routage pour VPC

Procédure

Étape 1

Sur la console de gestion AWS, accédez à Services > Networking & Content (réseautage et contenu) > Virtual Private Cloud (Cloud privé virtuel) > Route tables (tables de routage).

Étape 2

Sélectionnez la table de routage pour la passerelle Internet et effectuez les étapes suivantes :

  1. Cliquez sur Actions > Edit routes (modifier les voies de routage).

  2. Pour IPv4, cliquez sur Add route (ajouter une voie de routage). Pour Destination, saisissez le bloc CIDR IPv4 du sous-réseau pour les serveurs d’applications. Pour Target (cible), sélectionnez le terminal VPC.

  3. Cliquez sur Save changes (enregistrer les modifications).

Étape 3

Sélectionnez la table de routage pour le sous-réseau avec les serveurs d’applications et procédez comme suit :

  1. Cliquez sur Actions > Edit routes (modifier les voies de routage).

  2. Pour IPv4, cliquez sur Add route (ajouter une voie de routage). Dans la Destination, saisissez 0.0.0.0/0. Pour Target (cible), sélectionnez le terminal VPC.

  3. Cliquez sur Save changes (enregistrer les modifications).

Étape 4

Sélectionnez la table de routage pour le sous-réseau avec le terminal de l’équilibreur de charges de passerelle et procédez comme suit :

  1. Cliquez sur Actions > Edit routes (modifier les voies de routage).

  2. Pour IPv4, cliquez sur Add route (ajouter une voie de routage). Dans la Destination, saisissez 0.0.0.0/0. Pour Target (cible), sélectionnez la passerelle Internet.

  3. Cliquez sur Save changes (enregistrer les modifications).

Modifier le groupe d’évolutivité automatique

Par défaut, dans le groupe d’évolutivité automatique (Auto Scale), le nombre minimal et maximal d’instances virtuelles de défense contre les menaces est défini à 0 et à 2, respectivement. Modifiez ces valeurs en fonction de vos besoins.

Procédure

Étape 1

Sur la console de gestion AWS, accédez à Services > Compute (informatique) > EC2 et cliquez sur Auto Scale Groups (groupes d’évolutivité automatique).

Étape 2

Sélectionnez le groupe d’évolutivité automatique que vous avez créé et cliquez sur Edit pour modifier les valeurs dans les champs Desired capacity (capacité souhaitée), Minimum capacity (capacité minimale) et Maximum capacity (capacité maximale), selon vos besoins. Ces valeurs correspondent au nombre d’instances virtuelles de défense contre les menaces que vous souhaitez utiliser pour la fonctionnalité d’évolutivité automatique. Définissez la capacité souhaitée (Desired capacity) à une valeur comprise entre les valeurs de capacité minimale et maximale.

Étape 3

Cliquez sur Update (mettre à jour).


Remarque

Nous vous recommandons de lancer une seule instance virtuelle de défense contre les menaces et de vérifier que cette instance se comporte comme prévu. Vous pouvez ensuite lancer d’autres instances selon vos besoins.

Valider le déploiement

Une fois le déploiement du modèle terminé, accédez à la console Amazon CloudWatch pour vous assurer que les journaux sont collectés et que les alarmes requises ont été créées.

Journaux

Vérifiez les fichiers journaux pour résoudre les problèmes de connectivité du centre de gestion.

Procédure

Étape 1

Dans la console de gestion AWS Management, accédez à Services > Management & Governance (gestion et gouvernance) > CloudWatch.

Étape 2

Cliquez sur Log groups, puis sur n’importe quel groupe de journaux pour consulter les journaux.

Alarmes

Vérifiez que les alarmes requises ont été créées sur la console Amazon CloudWatch.

Procédure

Étape 1

Dans la console de gestion AWS Management, accédez à Services > Management & Governance (gestion et gouvernance) > CloudWatch.

Étape 2

Cliquez sur Alarms (alarmes) > All Alarms (toutes les alarmes) pour afficher la liste des alarmes ainsi que de l’information sur les conditions qui déclencheront l’ajout et la réduction des ressources.

Tâches de maintenance

Processus d’évolutivité

Cette rubrique explique comment suspendre puis reprendre un ou plusieurs des processus d’évolutivité pour votre groupe d’évolutivité automatique.

Actions de début et de fin d’évolutivité

Pour commencer et arrêter les actions de déploiement et d’évolution, procédez comme suit.

Moniteur d’intégrité

Toutes les 60 minutes, une tâche CloudWatch Cron déclenche le gestionnaire d’évolutivité automatique Lambda pour le module d’intégrité

  • S’il y a des adresses IP non intègres qui appartiennent à une machine virtuelle défense contre les menaces virtuelles valide, cette instance est supprimée si défense contre les menaces virtuelles date de plus d’une heure.

  • Si ces adresses IP ne proviennent pas d’une machine défense contre les menaces virtuelles valide, seules les adresses IP sont supprimées du groupe de cibles.

Le moniteur d’intégrité valide également la configuration centre de gestion pour le groupe de périphériques, la politique d’accès et les règles de NAT. Dans le cas d’une adresse IP ou d’une instance non intègre, ou si la validation centre de gestion échoue, le moniteur d’intégrité envoie un courriel à l’utilisateur.

Désactiver le moniteur d’intégrité

Pour désactiver un moniteur d’intégrité, dans constant.py, définissez la constante sur « True ».

Activer le moniteur d’intégrité

Pour activer un moniteur d’intégrité, dans constant.py, définissez la constante sur « False ».

Désactiver les crochets de cycle de vie

Dans le cas improbable où le crochet de cycle de vie doit être désactivé, s’il est désactivé, il n’ajoutera pas d’interfaces supplémentaires aux Instances. Cela peut également entraîner une série d’échecs du déploiement des instances défense contre les menaces virtuelles.

Désactiver le gestionnaire d’évolutivité automatique

Pour désactiver le gestionnaire d’évolutivité automatique Auto Scale Manager, les événements CloudWatch Events « notify-instance-lancement » et « notify-instance-terminal » doivent être désactivés. Cette désactivation ne déclenchera pas Lambda pour de nouveaux événements. Mais l’exécution des actions Lambda se poursuivra déjà. Il n’y a pas d’arrêt brutal d’Auto Scale Manager. La tentative d’arrêt brut par la suppression de la pile ou la suppression des ressources peut entraîner un état indéfini.

Cibles de l’équilibreur de charges

Comme l’équilibreur de charges AWS n’autorise pas les cibles de type instance pour les instances ayant plusieurs interfaces réseau, l’adresse IP de l’interface Gigabit0/1 est configurée comme cible sur les groupes de cibles. Pour l’instant, cependant, les contrôles d’intégrité de l’évolutivité automatique d’AWS ne fonctionnent que pour les cibles de type d’instance, et non pour les adresses IP. En outre, ces adresses IP ne sont pas automatiquement ajoutées ou supprimées des groupes cibles. Par conséquent, notre solution d’évolutivité automatique gère ces deux tâches de manière programmatique. Mais dans le cas d’une maintenance ou d’un dépannage, il pourrait y avoir une situation nécessitant un effort manuel.

Enregistrer une cible dans un groupe de cibles

Pour enregistrer l’instance défense contre les menaces virtuelles sur l’équilibreur de charges, son adresse IP d’instance Gigabit0/1 (sous-réseau externe) doit être ajoutée en tant que cible dans le ou les groupes de cibles. Consultez l’information sur l’enregistrement ou l’annulation de l’enregistrement des cibles par adresse IP.

Annuler l’enregistrement d’une cible d’un groupe de cibles

Pour annuler l’enregistrement de l’instance défense contre les menaces virtuelles de l’équilibreur de charges, son adresse IP d’instance Gigabit0/1 (sous-réseau externe) doit être supprimée en tant que cible dans le ou les groupes de cibles. Consultez l’information sur l’enregistrement ou l’annulation de l’enregistrement des cibles par adresse IP.

Instance en attente

AWS n’autorise pas le redémarrage d’instance dans le groupe d’évolutivité automatique, mais il permet à un utilisateur de mettre une instance en veille et d’effectuer de telles actions. Cependant, cela fonctionne mieux lorsque les cibles de l’équilibreur de charges sont de type instance. Cependant, les machines défense contre les menaces virtuelles ne peuvent pas être configurées en tant que cibles de type instance, en raison de nombreuses interfaces réseau.

Mettre une instance en veille

Si une instance est mise en veille, son adresse IP dans les groupes de cibles continuera toujours d’être dans le même état jusqu’à ce que les sondes d’intégrité échouent. Pour cette raison, il est recommandé de désinscrire les adresses IP respectives du groupe cible avant de mettre l’instance en état de veille; consultez Cibles de l’équilibreur de charges pour en savoir plus.

Une fois les IP supprimées, consultez la section Supprimer temporairement les instances de votre groupe d’évolutivité automatique.

Supprimer une instance de la mise en veille

De même, vous pouvez déplacer une instance de l’état de veille à l’état d’exécution. Après sa suppression de l’état de veille, l’adresse IP de l’instance doit être enregistrée sur les cibles du groupe cible. Consultez Cibles de l’équilibreur de charges.

Pour en savoir plus sur la mise en veille des instances à des fins de dépannage ou de maintenance, consultez le blogue d’actualités AWS.

Supprimer/dissocier l’instance du groupe d’évolutivité automatique

Pour supprimer une instance du groupe d’évolutivité automatique, vous devez d’abord la mettre en mode veille. Consultez la section « Mettre des instances en veille ». Une fois que l’instance est en état de veille, elle peut être supprimée ou dissociée. Consultez Dissocier les instances EC2 de votre groupe d’évolutivité automatique.

Il n’y aura aucune modification du côté centre de gestion. Toutes les modifications requises doivent être effectuées manuellement.

Mettre fin à une instance

Pour mettre fin à une instance, elle doit être mise en attente; voir Instance en attente. Une fois que l’instance est en veille, vous pouvez procéder à la résiliation.

Protection à l’échelle de l’instance

Pour éviter la suppression accidentelle d’une instance particulière du groupe d’évolutivité automatique, elle peut être protégée par l’évolutivité à la baisse. Si une instance est protégée par l’évolutivité à la baisse, elle ne sera pas résiliée en raison d’un événement d’évolutivité à la baisse.

Veuillez vous reporter au lien suivant pour mettre une instance en état protégé par l’évolutivité à la baisse.

https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-instance-termination.html


Important

Il est recommandé de faire en sorte que le nombre minimal d’instances qui sont intègres (l’adresse IP cible doit être intègre, pas seulement l’instance EC2) soit protégé par l’évolutivité à la baisse.

Changements de configuration

Toute modification de la configuration ne sera pas automatiquement reflétée sur les instances déjà en cours d’exécution. Ces modifications ne seront reflétées que sur les prochains périphériques intégrés. Toutes les modifications de ce type doivent être transférées manuellement vers les périphériques déjà en cours.

Si vous rencontrez des problèmes lors de la mise à jour manuelle de la configuration sur les instances existantes, nous vous recommandons de supprimer ces instances du groupe d’évolutivité et de les remplacer par de nouvelles.

Modifiez le nom et le mot de passe du Centre de gestion.

En cas de modification de l’adresse IP, du nom d’utilisateur ou du mot de passe de centre de gestion, les modifications correspondantes doivent être apportées à la fonction Lambda du Auto Scale Manager et aux variables d’environnement de la fonction Lambda d’éditeur de mesure personnalisée. Consultez la section sur l’utilisation des variables d’environnement AWS Lambda.

Lors de la prochaine exécution de la fonction Lambda, elle fera référence aux variables d’environnement modifiées.


Remarque

Les variables d’environnement sont directement fournies aux fonctions Lambda. Il n’y a pas de vérification de la complexité du mot de passe ici.

Modifier le mot de passe d’administrateur Défense contre les menaces virtuelles

Une modification du mot de passe défense contre les menaces virtuelles oblige l’utilisateur à le modifier sur chaque périphérique manuellement pour les instances en cours d’exécution. Pour les nouveaux périphériques défense contre les menaces virtuelles à intégrer, le mot de passe défense contre les menaces virtuelles sera tiré des variables d'environnement Lambda. Consultez la section sur l’utilisation des variables d’environnement AWS Lambda.

Inscription des modifications et ID de NAT

Pour que de nouveaux périphériques défense contre les menaces virtuelles soient intégrés avec des ID d’enregistrement et de traduction d’adresses réseau (NAT) différents, pour l’enregistrement centre de gestion, ces informations doivent être modifiées dans le fichier Configuration.json. Le fichier Configuration.json peut être localisé dans la page des ressources de Lambda.

Changements à la politique d’accès et à la politique de NAT

Toute modification apportée aux politiques d’accès ou aux politiques NAT est automatiquement appliquée aux instances à venir à l’aide de l’attribution de groupe d’appareils. Cependant, pour mettre à jour les instances défense contre les menaces virtuelles existantes, vous devez pousser manuellement les modifications de configuration et les déployer à partir de centre de gestion.

Modifications des ressources AWS

Vous pouvez modifier de nombreuses choses dans AWS après le déploiement, telles que le groupe d’évolutivité automatique, la configuration de lancement, les événements CloudWatch, les politiques d’évolutivité, etc. Vous pouvez importer vos ressources dans une pile CloudFormation ou créer une nouvelle pile à partir de vos ressources existantes.

Consultez la section sur l’importation de ressources existantes dans Cloud Formation Management pour en savoir plus sur la gestion des modifications effectuées sur les ressources d’AWS.

Dépannage

Console AWS CloudFormation

Vous pouvez vérifier les paramètres d’entrée de votre pile CloudFormation dans la console AWS CloudFormation, qui vous permet de créer, de superviser, de mettre à jour et de supprimer des piles directement à partir de votre navigateur Web.

Accédez à la pile requise et vérifiez l’onglet des paramètres. Vous pouvez également vérifier les entrées des fonctions Lambda sous l’onglet des variables d’environnement des fonctions Lambda. Le fichier configuration.json peut également être consulté dans la fonction Lambda d’Auto Scale Manager.

Pour en savoir plus sur la console AWS CloudFormation, consultez le Guide de l’utilisateur AWS CloudFormation.

Journaux Amazon CloudWatch

Vous pouvez afficher les journaux des fonctions Lambda individuelles. AWS Lambda surveille automatiquement les fonctions Lambda en votre nom, en signalant des mesures par l’entremise d’Amazon CloudWatch. Pour vous aider à dépanner les défaillances d’une fonction, Lambda consigne toutes les demandes gérées par votre fonction et stocke également automatiquement les journaux générés par votre code dans les journaux Amazon CloudWatch.

Vous pouvez afficher les journaux pour Lambda en utilisant la console Lambda, la console CloudWatch, l’interface de ligne de commande AWS ou l’API CloudWatch. Pour en savoir plus sur les groupes de journaux et y accéder par l’entremise de la console CloudWatch, consultez l’information sur le système de surveillance, l’application et les fichiers journaux personnalisés dans le Guide de l’utilisateur Amazon CloudWatch.

Échec de contrôle de l'intégrité de l'équilibreur de charges

Le contrôle de l’intégrité de l’équilibreur de charges contient des informations telles que le protocole, le port ping, le chemin ping, le délai d’expiration de réponse et l’intervalle de contrôle de l’intégrité. Une instance est considérée comme saine si elle renvoie un code de réponse de 200 dans l’intervalle de contrôle de l’intégrité.

Si l’état actuel de certaines ou de toutes vos instances est Outofservice et que le champ de description affiche le message que Instance has failed at least the Unhealthy Threshold number of health checks consecutively (l’instance a échoué au moins à un nombre limite de contrôles d’intégrité consécutifs), les instances ont échoué au contrôle de l’intégrité de l’équilibreur de charges.

Vous devez vérifier la règle de traduction d’adresses réseau (NAT) de la sonde d’intégrité dans la configuration centre de gestion. Pour en savoir plus, consultez Dépannage d’un équilibreur de charges classique : contrôles d’intégrité.

Problèmes de trafic

Pour résoudre les problèmes de trafic pour vos instances défense contre les menaces virtuelles, vous devez vérifier les règles de l’équilibreur de charges, les règles de NAT et les routes statiques configurées dans les instances défense contre les menaces virtuelles.

Vous devez également vérifier les détails du réseau virtuel AWS, des sous-réseaux et de la passerelle fournis dans le modèle de déploiement, y compris les règles de groupe de sécurité, etc. Vous pouvez aussi consulter la documentation AWS, par exemple, Dépannage des instances EC2.

Échec de la connexion à l’Centre de gestion

Si la connexion de gestion est interrompue, vous devez vérifier la configuration et les informations d’authentification. Voir les exigences et conditions préalables pour la gestion des périphériques dans le Guide de configuration du Cisco Firepower Management Center et le .

Échec de l'inscription du périphérique à l'aide de Centre de gestion

Si le périphérique ne parvient pas à s’inscrire avec centre de gestion, vous devez déterminer si la configuration centre de gestion est défectueuse ou inaccessible, ou si centre de gestion a la capacité d’héberger un nouveau périphérique. Voir l’information sur l’ajout d’un périphérique au centre de gestion dans le Guide de configuration du Cisco Firepower Management Center et le Guide de configuration de Cisco Firepower Management Center.

Impossible d’inscrire le protocole SSH dans Défense contre les menaces virtuelles

Si vous ne parvenez pas à inscrire le protocole SSH dans défense contre les menaces virtuelles, vérifiez si le mot de passe complexe a été transmis à défense contre les menaces virtuelles au moyen du modèle.

Scénario d’utilisation : Évolutivité automatique pour la défense contre les menaces virtuelles utilisant GWLB sur AWS pour inspecter le trafic nord-sud

Il s’agit d’un document de scénario qui explique comment configurer l’évolutivité automatique des instances de Threat Defense Virtual à l’aide d’un équilibreur de charges de passerelle (GWLB) dans l’environnement AWS pour inspecter le trafic nord-sud.

Comment configurer la solution d’évolutivité automatique Défense contre les menaces virtuelles à l’aide de GWLB sur AWS pour inspecter le trafic nord-sud

La solution d’évolutivité automatique permet le déploiement, l’évolution et la gestion d’un groupe d’instances de Threat Defense Virtual qui sont hébergées pour l’inspection du trafic. Le trafic est réparti sur une ou plusieurs instances de Threat Defense Virtual, en fonction des performances ou de la capacité d’utilisation.

La GWLB agit comme un point d’entrée et de sortie unique, pour gérer le trafic généré à l’interne et à l’externe, et il permet l’évolutivité à la hausse ou à la baisse (soit l’augmentation ou la réduction) du nombre d’instances de Threat Defense Virtual en temps réel en fonction de la charge de trafic.


Remarque

Les valeurs de paramètre utilisées dans ce scénario sont des exemples. Modifiez ces valeurs en fonction de vos besoins.

Exemple de topologie

Cet exemple de topologie illustre comment le flux de trafic réseau entrant et sortant est réparti sur les instances de Threat Defense Virtual par l’intermédiaire de la GWLB, puis acheminé vers le VPC d’application et en retour.

Illustration 3. Défense contre les menaces virtuelles Solution d’évolutivité automatique avec GWLB

Inspection du trafic entrant


La passerelle Internet (IGW) reçoit le trafic d’Internet.


Le trafic est acheminé vers le terminal de l’équilibreur de charges de passerelle (GWLBe) selon les routes de la table de routage d’entrée.



Le GWLBe est associé au service de terminal dans le Cloud privé virtuel (VPC) de sécurité. La GWLB encapsule le trafic reçu et le transfère au groupe de évolutivité automatique de Threat Defense Virtual pour inspection.



Le trafic inspecté par le groupe d’évolutivité automatique est renvoyé à la GWLB, puis au terminal de GWLB.


Le terminal GWLB transfère le trafic au VPC d’application à partir duquel il est acheminé vers les ressources du sous-réseau d’application.

Inspection du trafic sortant


Le trafic des ressources de sous-réseau de l’application est acheminé vers le GWLBe dans le même dans le même Cloud privé virtuel (VPC) de sécurité.



Le GWLBe est associé au service de terminal dans le VPC de sécurité. Le GWLB encapsule le trafic reçu et le transfère au groupe de évolutivité automatique pour inspection.



Le trafic inspecté par le groupe d’évolutivité automatique est renvoyé au GWLB, puis au GWLBe.


Une fois que le trafic arrive dans le VPC d’origine, il est transféré à la passerelle Internet (IGW) selon les routes définies dans la table de routage du sous-réseau de sortie.



La passerelle IGW envoie le trafic à Internet.

Procédure de bout en bout

Le diagramme suivant illustre le flux de travail pour le déploiement de la solution à évolutivité automatique Défense contre les menaces virtuelles avec GWLB sur Amazon Web Services (AWS).

Espace de travail

Étapes

Hôte local

Téléchargez les fichiers requis à partir de GitHub

Console Amazon CloudFormation

Personnaliser et déployer le modèle d’infrastructure

Centre de gestion

Configurer l’infrastructure de réseau

Hôte local

Mettre à jour le fichier JSON de configuration

Hôte local

Configurer les éléments d’infrastructure à l’aide de l’interface de ligne de commande AWS

Hôte local

Créer un dossier cible

Hôte local

Charger des fichiers dans le compartiment Amazon S3

Console Amazon CloudFormation

Déployer la solution d’évolutivité automatique

Console Amazon EC2

Modifier le groupe d’évolutivité automatique

Console Amazon VPC

Créer le point terminal de GWLB

Console Amazon VPC

Configurer le routage pour VPC

Conditions préalables

  • Copiez le référentiel GitHub dans votre dossier local à partir de GitHub. Ce référentiel contient les fichiers suivants sous cisco-ftdv/autoscale/aws.

    • Les fichiers Python (.py) utilisés pour créer la couche lambda.

    • Un fichier configuration.json utilisé pour ajouter des routes statiques et personnaliser des paramètres réseau, au besoin.

    • Le make.py pour générer des fichiers zip.

    • Les fichiers *.yml sont requis pour le déploiement.

  • Modèles de formation du nuage dans le dossier /templates :

    • infrastructure_gwlb.yml  : Utilisé pour personnaliser les composants dans l’environnement AWS.

    • deploy_ngfw_autoscale_with_gwlb.uaml – Utilisé pour déployer la solution AWS Autoscale avec GWLB.

  • [Facultatif] Collectez des valeurs pour les paramètres de modèle, dans la mesure du possible. Cela facilitera la saisie rapide des valeurs lors du déploiement des modèles sur la console de gestion AWS.

Console Amazon CloudFormation : Personnaliser et déployer le modèle d'infrastructure

Effectuez les étapes indiquées dans cette section pour personnaliser et déployer le modèle d’infrastructure.

Procédure

Étape 1

Sur la console AWS Management Console, accédez à Services > Management and Governance (gestion et gouvernance) > CloudFormation et cliquez sur Create stack > With new resources(standard) (créer une pile avec de nouvelles ressources - standard).

Étape 2

Choisissez Upload a template file (téléverser un fichier de modèle), cliquez sur Choose file (choisir un fichier) et sélectionnez infrastructure_gwlb.uaml dans le dossier dans lequel vous avez téléchargé les fichiers.

Étape 3

Cliquez sur Next (suivant).

Étape 4

Dans la page Specify stack details (précisez les détails de la pile), saisissez un nom pour la pile.

Étape 5

Indiquez les valeurs pour les paramètres d’entrée dans le modèle infrastructure_gwlb.yaml.

Paramètres

Valeurs

Configuration des modules (pod)

  

Nom du module

infrastructure

Numéro de module

1

Nom du compartiment S3

demo-us-bkt

CIDR du VPC

20.0.0.0/16

Nombre de zones de disponibilité

2

Remarque

 

Threat Defense Virtual prend en charge jusqu’à trois zones de disponibilité. Si vous choisissez de déployer des périphériques virtuels dans trois zones de disponibilité, assurez-vous de sélectionner trois sous-réseaux pour chacun des types d’interface (gestion, interne et externe).

ListOfAzs (liste des zones de disponibilité)

us-west-1a,us-west-1b

Nom des sous-réseaux de gestion

MgmtSubnet-1,MgmtSubnet-2

MgmtSubnetCidrs

20.1.250.0/24,20.1.251.0/24

Nom des sous-réseaux internes

MgmtSubnet-1,MgmtSubnet-2

InsideSubnetCidrs

20.1.100.0/24,20.1.101.0/24

Nom des sous-réseaux externes

OutsideSubnet-1,OutsideSubnet-2

OutsideSubnetCidrs

20.1.200.0/24,20.1.201.0/24

Nom des sous-réseaux Lambda

LambdaSubnet-1,LambdaSubnet-2

CIDR de sous-réseau Lambda

20.1.50.0/24,20.1.51.0/24

Étape 6

Cliquez sur Next (suivant).

Étape 7

Cliquez sur Next (suivant) dans la fenêtre Configure Stack Options (configurer les options de pile).

Étape 8

Dans la page Review (examen), passez en revue et confirmez les paramètres.

Étape 9

Cliquez sur Create Stack (créer une pile) pour déployer le modèle infrastructure_gwlb.yaml et créer la pile.

Étape 10

Une fois le déploiement terminé, accédez aux résultats et notez le nom de compartiment S3 (S3 Bucket Name).

Centre de gestion – Configurer l'infrastructure réseau dans le centre de gestion pour Défense contre les menaces virtuelles

Créez et configurez des objets, des groupes de périphériques, un port de vérification de l’intégrité et des politiques d’accès dans le centre de gestion pour les Défense contre les menaces virtuelles enregistrés.

Créez un objet hôte

Procédure

Étape 1

Connectez-vous au centre de gestion.

Étape 2

Choisissez Objects (objets) > Object Management (gestion des objets).

Étape 3

Sélectionnez Network (réseau) dans la liste des types d'objets.

Étape 4

Sélectionnez Add Object (ajouter un objet) dans le menu déroulant Add Network (ajouter un réseau).

Étape 5

Saisissez un nom : Name - aws-netadata-server.

Étape 6

Saisissez une description.

Étape 7

Dans le champ Network (réseau), sélectionnez l’option Host (hôte) et saisissez l’adresse IPv4 - 169.254.169.254.

Étape 8

Cliquez sur Save (enregistrer).

Créer un objet de port

Procédure

Étape 1

Connectez-vous au centre de gestion.

Étape 2

Choisissez Objects (objets) > Object Management (gestion des objets).

Étape 3

Sélectionnez PortL dans la liste des types d'objets.

Étape 4

Sélectionnez Add Object (ajouter un objet) dans le menu déroulant Add Port (ajouter un port).

Étape 5

Saisissez un nom (Name) - test-port-object.

Étape 6

Choisissez un protocole. Vous devez choisir le protocole que vous avez saisi pour le type d’objet hôte. Selon le protocole que vous avez choisi, précisez le port.

Étape 7

Saisissez 8080. Notez que vous pouvez personnaliser le numéro de port que vous saisissez ici selon vos besoins.

Remarque

 

Vous devez restreindre l’objet par port si vous avez choisi de mettre en correspondance tous les protocoles, en utilisant la liste déroulante Autre.

Étape 8

Cliquez sur Save (enregistrer).

Créer des objets de zone de sécurité et de groupe d’interface

Procédure

Étape 1

Choisissez Objects (objets) > Object Management (gestion des objets).

Étape 2

Sélectionnez Interface dans la liste des types d'objets.

Étape 3

Cliquez sur Add > Security Zone ou Add > Interface Group pour ajouter une zone de sécurité ou un groupe d’interfaces.

Étape 4

Saisissez un nom - inside-sz/outside-sz.

Étape 5

Choisissez un le type d'interface avec routage (Interface Type - Routed).

Étape 6

Cliquez sur Save (enregistrer).

Ajouter un groupe de périphériques

Le centre de gestion vous permet de regrouper des périphériques afin de pouvoir déployer facilement des politiques et installer les mises à jour sur plusieurs périphériques. Vous pouvez développer et réduire la liste des périphériques du groupe.

Procédure

Étape 1

Choisissez Devices (périphériques) > Device Management (gestion des périphériques).

Étape 2

Dans le menu déroulant Add (ajouter), choisissez Add Group (ajouter un groupe).

Étape 3

Pour modifier un groupe existant, cliquez sur Edit (icône de modification) à côté du groupe que vous souhaitez modifier.

Étape 4

Saisissez un nom (Name) - aws-ngfw-autoscale-dg.

Étape 5

Cliquez sur OK pour ajouter le groupe de périphériques.

Activer le port 443 (HTTP) pour la sonde de vérification de l’intégrité

Si vous utilisez le port 443 (HTTP) pour la sonde de vérification de l’intégrité, effectuez la procédure suivante pour activer le port pour celle-ci.

Procédure

Étape 1

Choisissez Devices (périphériques) > Platform Settings (paramètres de la plateforme) > HTTP Access (accès HTTP).

Étape 2

Cochez la case Enable HTTP Server (activerle serveur HTTP).

Étape 3

Saisissez 443 dans le champ Port.

Étape 4

Cliquez sur + Add (ajouter).

Étape 5

Sélectionnez l’adresse IP appropriée dans la liste déroulante.

Étape 6

Dans la fenêtre Available Zones/Interfaces (zones et interfaces disponibles), sélectionnez l’interface externe connectée à GWLB ou au sous-réseau externe.

Étape 7

Cliquez sur Add pour ajouter cette interface à la fenêtre des zones et des interfaces sélectionnées (Selected Zones/Interfaces).

Étape 8

Cliquez sur OK.

Étape 9

Cliquez sur Save (enregistrer).

Créer une politique de contrôle d'accès de base

Lorsque vous créez une politique de contrôle d’accès, elle contient les actions et les paramètres par défaut. Après avoir créé la politique, vous êtes immédiatement placé dans une session de modification afin de pouvoir ajuster la politique selon vos besoins.

Procédure

Étape 1

Sélectionnez Policies (politiques) > Access Control (contrôle d'accès).

Étape 2

Cliquez sur New Policy (nouvelle politique).

Étape 3

Saisissez un nom unique : aws-asg-policy et une description.

Étape 4

Précisez l’action par défaut (Default Action) initiale : Block all traffic (bloquer tout le trafic).

Étape 5

Cliquez sur Save (enregistrer).

Étape 6

Cliquez sur Targeted Devices (appareils ciblés) dans le coin supérieur droit de la page pour attribuer la politique.

Étape 7

Sélectionnez aws-ngfw-autoscale-dg dans les périphériques disponibles.

Étape 8

Cliquez sur Add to Policy (ajouter à la politique) puis cliquez sur OK.

Étape 9

Cliquez sur l’icône Edit (modifier) de la nouvelle politique que vous avez créée.

Étape 10

Cliquez sur Add Rule (ajouter une règle).

Étape 11

Définissez les paramètres suivants :

  • Name (nom) : inside-to-outside (interne vers externe)

  • Insert (insérer) : into Mandatory (obligatoire)

  • Action : Allow (autoriser)

  • Ajoutez une zone source et une zone de destination.

Étape 12

Cliquez sur Apply (appliquer).

Hôte local – Mise à jour du fichier JSON de configuration

Le fichier configuration.json se trouve dans le dossier ambda_python_files que vous avez téléchargé à partir de GitHub. Mettez à jour les paramètres dans le fichier configuration.json avec les paramètres que vous avez configurés dans le centre de gestion.

Les scripts du fichier configuration.json sont les suivants.

"licenseCaps": ["BASE", "MALWARE", "THREAT"],   // Management center virtual licenses 
  "fmcIpforDeviceReg": "DONTRESOLVE",   // Management center virtual IP address 
  "RegistrationId": "cisco",  // Registration ID used while configuring the manager in the Threat defense virtual
  "NatId": "cisco",  // NAT ID used while configuring the manager in the Threat defense virtual
  "fmcAccessPolicyName": "aws-asg-policy",  // Access policy name configured in the Management center virtual
  "fmcInsideNicName": "inside", //Threat defense virtual inside interface name
  "fmcOutsideNicName": "outside", //Threat defense virtual outside interface name
  "fmcInsideNic": "TenGigabitEthernet0/0", // Threat defense virtual inside interface NIC Name - GigabitEthernet for c4 instance types, and TenGigabitEthernet for c5 instance types)
  "fmcOutsideNic": "TenGigabitEthernet0/1", // Threat defense virtual outside interface NIC Name - GigabitEthernet for c4 instance types, and TenGigabitEthernet for c5 instance types
  "fmcOutsideZone": "Outside-sz", //Outside Interface security zone name that is set in the Management center virtual
  "fmcInsideZone": "Inside-sz", //Inside Interface security zone name that is set in the Management center virtual
  "interfaceConfig": [
    {
      "managementOnly": "false",
      "MTU": "1500",
      "securityZone": {
        "name": "Inside-sz"
      },
      "mode": "NONE",
      "ifname": "inside",
      "name": "TenGigabitEthernet0/0"
    },
    {
      "managementOnly": "false",
      "MTU": "1500",
      "securityZone": {
        "name": "Outside-sz"
      },
      "mode": "NONE",
      "ifname": "outside",
      "name": "TenGigabitEthernet0/1"
    }
  ],  // Interface-related configuration
  "trafficRoutes": [
    {
      "interface": "inside",
      "network": "any-ipv4",
      "gateway": "",
      "metric": "1"
    }
  ] // This traffic route is used for the Threat defense virtual instance's health check
}

Remarque

Pour utiliser une adresse IP privée pour l’enregistrement de Défense contre les menaces virtuelles avec Centre de gestion virtuel, modifiez la ligne suivante dans le fichier constant.py situé dans cisco-ftdv/autoscale/aws/lambda-pythe-files/ :

  • USE_PUBLIC_IP_FOR_FMC_CONN = False

Hôte Ubuntu : Configurer les éléments d’infrastructure à l’aide de l’interface de ligne de commande AWS

Les modèles ne créent pas la couche Lambda et les mots de passe chiffrés pour la solution virtuelle de défense contre les menaces et le centre de gestion. Configurez ces composants en suivant les procédures ci-dessous. Consultez l’information sur l’interface de ligne de commande AWS pour de plus amples renseignements sur le sujet.

Procédure

Étape 1

Créez un fichier zip de couche Lambda.

Créez un dossier Python sur votre hôte Linux, puis créez la couche Lambda.

  1. Créez un dossier Python final dans votre hôte Linux, tel que Ubuntu 22.04.

  2. Installez Python 3.9 sur votre hôte Linux. Un exemple de script pour installer Python 3.9 est donné ci-dessous.

    $ sudo apt update
$ sudo apt install software-properties-common
$ sudo add-apt-repository ppa:deadsnakes/ppa
$ sudo apt install python3.9
$ sudo apt install python3-virtualenv
$ sudo apt install zip
$ sudo apt-get install python3.9-distutils
$ sudo apt-get install python3.9-dev
$ sudo apt-get install libffi-dev

  3. Créez un fichier zip de couche lambda, autoscale_layer.zip, dans votre environnement Linux. Ce fichier fournit des bibliothèques Python essentielles pour les fonctions Lambda.

    Exécutez les scripts suivants pour créer le fichier autoscale_layer.zip. 

    #!/bin/bash
mkdir -p layer
mkdir -p python
virtualenv -p /usr/bin/python3.9 ./layer/
source ./layer/bin/activate
pip3 install attrs==23.1.0
pip3 install bcrypt==3.2.2
pip3 install certifi==2022.12.7
pip3 install cffi==1.15.1
pip3 install chardet==3.0.4
pip3 install cryptography==2.9.1
pip3 install idna==2.10
pip3 install jsonschema==3.2.0
pip3 install paramiko==2.7.1
pip3 install pycparser==2.21
pip3 install pycryptodome==3.15.0
pip3 install PyNaCl==1.5.0
pip3 install pyrsistent==0.19.3
pip3 install requests==2.23.0
pip3 install scp==0.13.2
pip3 install six==1.16.0
pip3 install urllib3==1.25.11
echo "Copy from ./layer directory to ./python\n"
cp -r ./layer/lib/python3.9/site-packages/* ./python/
zip -r autoscale_layer.zip ./python

  4. Après avoir créé le fichier autoscale_layer.zip, copiez le fichier autoscale_layer.zip dans le dossier lambda-python-files téléchargé à partir de GitHub.

Étape 2

(Facultatif) Créer les mots de passe chiffrés pour la solution virtuelle de défense contre les menaces et le centre de gestion.

Si une valeur d’ARN KMS a été saisie dans le fichier de modèle infrastructure_gwlb.yaml, les mots de passe que vous avez configurés dans le centre de gestion et la solution virtuelle de défense contre les menaces doivent être chiffrés. Consultez la section sur la recherche de l’ID de clé et de l’ARN de la clé pour identifier l’ARN de clé à l’aide de la console AWS KMS. Sur votre hôte local, chiffrez le mot de passe en exécutant la prochaine commande de l’interface de ligne de commande AWS.
$ aws kms encrypt --key-id <KMS-ARN> --plaintext 'MyC0mplIc@tedProtect1oN'
{
    "KeyId": "KMS-ARN", 
    "CiphertextBlob": 
"AQICAHgcQFAGtz/hvaxMtJvY/x/rfHnKI3clFPpSXUU7HQRnCAFwfXhXHJAHL8tcVmDqurALAAAAajBoBgkqhki
G9w0BBwagWzBZAgEAMFQGCSqGSIb3DQEHATAeBglghkgBZQMEAS4wEQQM45AIkTqjSekX2mniAgEQgCcOav6Hhol
+wxpWKtXY4y1Z1d0z1P4fx0jTdosfCbPnUExmNJ4zdx8="
}
$
La valeur de « CipherexBlob » est le mot de passe chiffré. Utilisez ce mot de passe comme valeur du paramètre NGFWv Password (mot de passe virtuel défense contre les menaces virtuelles) ou du FMC Password for AutoScale Automation (mot de passe centre de gestion) dans le fichier infrastructure_gwlb.yaml. Vous pouvez également utiliser ce mot de passe comme valeur du mot de passe FMC pour la publication des mesures dans CloudWatch.

Hôte local – Créer un dossier cible

Accédez à cisco-ftdv/autoscale/aws/ dans le référentiel cloné sur votre hôte local et exécutez la commande ci-dessous pour créer un dossier cible contenant les fichiers qui doivent être chargés dans le compartiment Amazon S3.

python3 make.py build

Cela crée un dossier nommé « target » (cible) sur votre hôte local. Le dossier cible contient les fichiers zip et yml nécessaires pour le déploiement de la solution d’évolution automatique.

Hôte local – Charger les fichiers de déploiement de la solution de l’évolutivité automatique GWLB dans le compartiment Amazon S3

Utilisez la commande ci-dessous pour charger tous les fichiers du répertoire cible dans le compartiment Amazon S3 créé lors du déploiement de la pile d’infrastructure.

$ cd ./target

$ aws s3 cp . s3://demo-us-bkt --recursive

Console Amazon CloudFormation : déployez la solution d’évolutivité automatique pour Défense contre les menaces virtuelles à l’aide de GWLB

Procédure

Étape 1

Sur la console de gestion AWS, accédez à Services > Management and Gouvernance (gestion et gouvernance) > CloudFormation > Stacks, puis cliquez sur la pile créée par le modèle.

Étape 2

Cliquez sur Create stack > with new ressources(Standard) (créer une pile avec de nouvelles ressources - standard).

Étape 3

Sélectionnez Upload a template file (choisir un fichier modèle), cliquez sur Choose File (choisir un fichier), puis sélectionnez deploy_ngfw_autoscale_with_gwlb.yaml dans le dossier cible.

Étape 4

Cliquez sur Next (suivant).

Étape 5

Dans la page Specify stack details (précisez les détails de la pile), saisissez un nom pour la pile.

Étape 6

Indiquez les valeurs pour les paramètres d’entrée dans le modèle deploy_ngfw_autoscale_with_gwlb.yaml.

Nom de la pile : Threat-Defense-Virtual

Remarque

 

Vous pouvez trouver les valeurs d’ID de VPC, de nom de compartiment S3, de sous-réseaux et de groupes de sécurité dans la pile d’infrastructure que vous avez créée. Assurez-vous que les paramètres du centre de gestion correspondent à l’adresse IP réelle du FMC, au nom du groupe de périphériques, aux informations d’authentification de l’utilisateur et aux autres paramètres que vous avez créés.

Paramètre

Valeurs

Configuration des modules (pod)

  

Préfixe du nom du groupe d’évolutivité automatique

NGFWv-AutoScale

Numéro de module

1

Notification courriel d’évolutivité automatique

Précisez l’adresse courriel pour recevoir des notifications. Par exemple : nom d’utilisateur@cisco.com

Détails d’infrastructure

  

ID du VPC

vpc-05277f76370396df4

Nom du compartiment S3

demo-us-bkt

Sous-réseaux pour les fonctions Lambda

subnet-0f6bbd4de47d50c6b,subnet-0672f4c24156ac443

Groupes de sécurité pour les fonctions Lambda

sg-023dfadb1e7d4b87e

Nombre de zones de disponibilité

2

Remarque

 

Threat Defense Virtual prend en charge jusqu’à trois zones de disponibilité. Si vous choisissez de déployer des périphériques virtuels dans trois zones de disponibilité, assurez-vous de sélectionner trois sous-réseaux pour chacun des types d’interface (gestion, interne et externe).

Zones de disponibilité

us-west-1a, us-west-1b

Liste de sous-réseaux pour l’interface de gestion NGFWv

subnet-0e0bc4961de87b170, subnet-0c285f960d165b1fc

Liste de sous-réseaux pour l’interface interne NGFWv

subnet-0f6acf3b548d9e95b, subnet 0bc6d89f5d34e806b

Liste de sous-réseaux pour l’interface externe NGFWv

subnet-0cc7ac70df7144b7e, subnet-0237113d433c416fc

Configuration de GWLB

  

Entrer un port pour le contrôle d’intégrité de l’instance NGFWv

22

Configuration de l’instance Cisco NGFWv

  

Type d’instance NGFWv

c5.xlarge

Type de licence d’instance NGFWv

BYOL

Attribuer une adresse IP publique au NGFWv à partir de la réserve d’adresses IP AWS

vrai

Groupes de sécurité pour l’instance NGFWv

sg-088ae4bc1093f5833

Groupe de sécurité pour l’instance NGFWv interne

sg-0e0ce5dedcd9cd4f3

Groupe de sécurité pour l’instance NGFWv externe

sg-07dc50ff47d0c8126

ID d’AMI de NGFWv

ami-00faf58c7ee8d11e1

Remarque

 

Vous devez préciser le bon ID d’AMI de NGFWv présent dans votre compte AWS.

Pour rechercher l'AMI-ID, procédez comme suit :

  1. Accédez à EC2 > AMI.

  2. Filtrer les AMI publiques.

  3. Recherchez aws-marketplace/ftdv. Utilisez l’ID d’AMI de la dernière version parmi les options précisées.

ARN de la clé principale KMS (conditionnel)

Mot de passe NGFWv

W1nch3sterBr0s

Configuration automatique de FMC

  

Adresse IP de l’hôte FMC

3.38.137.49

Nom d’utilisateur FMC pour l’automatisation de l’évolutivité automatique

autoscaleuser

Mot de passe FMC pour l’automatisation de l’évolutivité automatique

W1nch3sterBr0s

Nom du groupe d’appareils FMC

aws-ngfw-autoscale-dg

Valeur du niveau de performance pour les licences FMCv

FTDv20

Configuration de la publication des mesures du groupe d’appareils FMC

  

Publier les mesures personnalisées à partir de FMC

VRAI

Nom d’utilisateur FMC pour la publication des mesures dans CloudWatch

metricuser

Mot de passe FMC pour la publication des mesures dans CloudWatch

W1nch3sterBr0s

Configuration de l’évolutivité

  

Seuils de CPU inférieur, supérieur

10,70

Seuils de mémoire inférieur, supérieur

40,70

Étape 7

Cliquez sur Next (suivant) dans la fenêtre Configure Stack Options (configurer les options de pile).

Étape 8

Dans la page Review (examen), passez en revue et confirmez les paramètres.

Étape 9

Cliquez sur Create Stack (créer une pile) pour déployer le modèle deploy_ngfw_autoscale_with_gwlb.yaml et créer la pile.

Cela termine le déploiement des deux modèles nécessaires à la configuration de la solution d’évolutivité automatique pour la défense contre les menaces virtuelle avec GWLB.

Console Amazon EC2 : modifiez le nombre d’instances dans le groupe d’évolutivité automatique (Auto Scale Group)

Par défaut, dans le groupe d’évolutivité automatique (Auto Scale), le nombre minimal et maximal d’instances virtuelles de défense contre les menaces est défini à 0 et à 2, respectivement. Modifiez ces valeurs en fonction de vos besoins.

Procédure

Étape 1

Sur la console de gestion AWS, accédez à Services > Compute (informatique) > EC2 et cliquez sur Auto Scale Groups (groupes d’évolutivité automatique).

Étape 2

Sélectionnez le groupe d’évolutivité automatique que vous avez créé et cliquez sur Edit pour modifier les valeurs dans les champs Desired capacity (capacité souhaitée), Minimum capacity (capacité minimale) et Maximum capacity (capacité maximale), selon vos besoins. Ces valeurs correspondent au nombre d’instances virtuelles de défense contre les menaces que vous souhaitez utiliser pour la fonctionnalité d’évolutivité automatique. Définissez la capacité souhaitée (Desired capacity) à une valeur comprise entre les valeurs de capacité minimale et maximale.

Étape 3

Cliquez sur Update (mettre à jour).


Remarque

Nous vous recommandons de lancer une seule instance virtuelle de défense contre les menaces et de vérifier que l’instance est en service (InService) dans le groupe de mise à l’échelle automatique et enregistrée dans le centre de gestion virtuelle. Vous pouvez ensuite lancer d’autres instances selon vos besoins.

Console de tableau de bord Amazon VPC - Créer le point de terminaison GWLB et configurer le routage pour le VPC client

Vous devez créer le terminal GWLB et configurer le routage pour le VPC client après avoir déployé les deux modèles CloudFormation.

Créer le point terminal de GWLB

Procédure

Étape 1

Sur la console de gestion AWS, accédez à Services, > Networking & Content Delivery (mise en réseau et production de contenu) > VPC > Endpoint Services (services de point terminal).

Étape 2

Cliquez sur Create Endpoint Service (créer un service de point terminal).

Étape 3

Sous Load balancer type (type d’équilibreur de charge), sélectionnez Gateway(passerelle).

Étape 4

Sous Available Load Balancers (équilibreurs de charge disponibles), choisissez l’équilibreur de charge de passerelle qui a été créé dans le cadre du déploiement de l’évolutivité automatique.

Étape 5

Cliquez sur Create (créer).

Étape 6

Copiez le nom de service du service de terminal nouvellement créé.

Étape 7

Accédez à Services > Networking & Content Delivery (mise en réseau et production de contenu) > VPC > Endpoint Services (services de point terminal).

Étape 8

Cliquez sur Create Endpoint (créer un terminal).

Étape 9

Sous Service Category (catégorie de service), choisissez Other Endpoint Services (autres services de point terminal).

Étape 10

Dans le champ Service name (nomde service), saisissez le nom du service, puis sélectionnez Verify service (Vérifier le service).

Étape 11

Dans le champ VPC, sélectionnez le VPC (App VPC) dans lequel créer le terminal.

Étape 12

Sous Subnets (sous-réseaux), sélectionnez le sous-réseau (Egress subnet) dans lequel créer le terminal.

Étape 13

Pour le type d’adresse IP, choisissez l’option IPv4 pour attribuer des adresses IPv4 aux interfaces réseau du terminal.

Étape 14

Cliquez sur Create Endpoint (créer un terminal).

Étape 15

Rendez-vous à Services > Networking & Content Delivery (mise en réseau et contenu) > VPC > Endpoint services (services de point terminal), cliquez sur l’onglet Endpoint Connections (connexions de point terminal), choisissez l’identifiant de point terminal (Endpoint ID) que vous avez créé plus tôt, et cliquez sur Actions > Accept endpoint connection request (acceptez la demande de connexion de point terminal).

Configurer le routage pour le client VPC

Procédure

Étape 1

Sur la console de gestion AWS, accédez à Services > Networking & Content (réseautage et contenu) > Virtual Private Cloud (Cloud privé virtuel) > Route tables (tables de routage).

Étape 2

Créez la table de routage d’entrée et procédez comme suit :

  1. Cliquez sur Actions > Edit routes (modifier les voies de routage).

  2. Pour IPv4, cliquez sur Add route (ajouter une voie de routage). Pour Destination, saisissez le bloc CIDR IPv4 10.0.1.0/24 du sous-réseau pour les serveurs d’applications. Pour Target (cible), sélectionnez le terminal VPC.

  3. Cliquez sur Save changes (enregistrer les modifications).

  4. Dans l’onglet Edge Associations (associations de périphérie), cliquez sur Edit dge associations (modifier les associations de périphérie) et sélectionnez Internet Gateway (passerelle Internet).

  5. Cliquez sur Save changes (enregistrer les modifications).

Étape 3

Sélectionnez la table de routage pour le sous-réseau avec les serveurs d’applications et procédez comme suit :

  1. Cliquez sur Actions > Edit routes (modifier les voies de routage).

  2. Pour IPv4, cliquez sur Add route (ajouter une voie de routage). Dans la Destination, saisissez 0.0.0.0/0. Pour Target (cible), sélectionnez le terminal VPC.

  3. Cliquez sur Save changes (enregistrer les modifications).

Étape 4

Sélectionnez la table de routage pour le sous-réseau avec le terminal de l’équilibreur de charges de passerelle et procédez comme suit :

  1. Cliquez sur Actions > Edit routes (modifier les voies de routage).

  2. Pour IPv4, cliquez sur Add route (ajouter une voie de routage). Dans la Destination, saisissez 0.0.0.0/0. Pour Target (cible), sélectionnez la passerelle Internet.

  3. Cliquez sur Save changes (enregistrer les modifications).

Amazon CloudWatch – Validate Deployment

Une fois le déploiement du modèle terminé, accédez à la console Amazon CloudWatch pour vous assurer que les journaux sont collectés et que les alarmes requises ont été créées.

Journaux

Vérifiez les fichiers journaux pour résoudre les problèmes de connectivité du centre de gestion.

Procédure

Étape 1

Dans la console de gestion AWS Management, accédez à Services > Management & Governance (gestion et gouvernance) > CloudWatch.

Étape 2

Cliquez sur Log groups, puis sur n’importe quel groupe de journaux pour consulter les journaux.

Alarmes

Vérifiez que les alarmes requises ont été créées sur la console Amazon CloudWatch.

Procédure

Étape 1

Dans la console de gestion AWS Management, accédez à Services > Management & Governance (gestion et gouvernance) > CloudWatch.

Étape 2

Cliquez sur Alarms (alarmes) > All Alarms (toutes les alarmes) pour afficher la liste des alarmes ainsi que de l’information sur les conditions qui déclencheront l’ajout et la réduction des ressources.