मार्गदर्शिका

कई VPCs के लिए पूर्ण मेश कनेक्टिविटी, जिनमें से कुछ ओवरलैपिंग CIDRs वाले हैं।

→Transit Gateway डिप्लॉय करें। प्रभावित VPCs में अद्वितीय, सेकेंडरी CIDR ब्लॉक जोड़कर ओवरलैपिंग CIDRs का समाधान करें।

क्यों: Transit Gateway स्केलेबल, ट्रांज़िटिव राउटिंग प्रदान करता है, लेकिन ओवरलैपिंग IP श्रेणियों के बीच रूट नहीं कर सकता। IP समाधान आवश्यक है।

उच्च-थ्रूपुट, कम-विलंबता, लचीली हाइब्रिड कनेक्टिविटी।

→दो अलग-अलग Direct Connect स्थानों पर दो समर्पित Direct Connect कनेक्शन प्रदान करें।

क्यों: दो अलग-अलग स्थानों का उपयोग स्थान-स्तर की विफलताओं (फाइबर कट, बिजली आउटेज) से बचाता है, अधिकतम लचीलापन प्रदान करता है। एक ही स्थान, कई कनेक्शनों के साथ भी, विफलता का एक बिंदु है।

ऑन-प्रिमाइसेस और AWS प्राइवेट होस्टेड ज़ोन के बीच द्वि-दिशात्मक DNS रिज़ॉल्यूशन।

→Route 53 Resolver का उपयोग करें। ऑन-प्रिमाइसेस से AWS को क्वेरी करने के लिए इनबाउंड एंडपॉइंट्स बनाएं। AWS से ऑन-प्रिमाइसेस को क्वेरी करने के लिए फॉरवर्डिंग नियमों के साथ आउटबाउंड एंडपॉइंट्स बनाएं।

क्यों: इनबाउंड एंडपॉइंट्स ऑन-प्रिमाइसेस DNS फ़ॉरवर्डर के लिए पहुंच योग्य IP प्रदान करते हैं। आउटबाउंड एंडपॉइंट्स VPC के भीतर से कंडीशनल फ़ॉरवर्डिंग सक्षम करते हैं। VPC डिफ़ॉल्ट रिज़ॉल्वर (VPC+2) ऑन-प्रिमाइसेस से पहुंच योग्य नहीं है।

नेटवर्क-लेयर रूट्स बनाए बिना दो VPCs के बीच सेवा-स्तर पहुंच प्रदान करें।

→AWS PrivateLink का उपयोग करें। प्रोवाइडर VPC में एक VPC Endpoint Service (NLB द्वारा समर्थित) और कंज्यूमर VPC में एक Interface VPC Endpoint बनाएं।

क्यों: PrivateLink कंज्यूमर के VPC में ENIs का उपयोग करके एक-दिशात्मक, सेवा-विशिष्ट कनेक्टिविटी प्रदान करता है, जिससे नेटवर्क-स्तरीय राउटिंग और CIDR ओवरलैप समस्याओं से पूरी तरह बचा जा सकता है।

प्राइवेट सबनेट में IPv6-सक्षम इंस्टेंस के लिए केवल आउटबाउंड इंटरनेट पहुंच प्रदान करें।

→एक Egress-Only Internet Gateway (EIGW) बनाएं और प्राइवेट सबनेट की रूट टेबल में `::/0` के लिए EIGW की ओर इशारा करते हुए एक रूट जोड़ें।

क्यों: एक EIGW आउटबाउंड IPv6 कनेक्शनों के लिए स्टेटफुल है, जो रिटर्न ट्रैफिक की अनुमति देता है लेकिन अवांछित इनबाउंड कनेक्शनों को रोकता है, जो NAT Gateway के समान है लेकिन IPv6 के लिए है।

Transit Gateway के साथ एक केंद्रीकृत मॉडल में AWS Network Firewall का उपयोग करके सभी इंटर-VPC ट्रैफिक का निरीक्षण करें।

→Network Firewall के साथ एक समर्पित निरीक्षण VPC बनाएं। सभी इंटर-VPC ट्रैफिक को निरीक्षण VPC पर भेजने के लिए TGW रूट टेबल कॉन्फ़िगर करें। निरीक्षण VPC के भीतर, रूट टेबल को सिमेट्रिक राउटिंग के लिए NFW एंडपॉइंट्स के माध्यम से ट्रैफिक को निर्देशित करना चाहिए।

क्यों: इस आर्किटेक्चर के लिए सावधानीपूर्वक राउटिंग की आवश्यकता है: TGW ट्रैफिक को निरीक्षण VPC पर भेजता है; VPC रूट टेबल इसे फ़ायरवॉल एंडपॉइंट पर भेजते हैं; फ़ायरवॉल इसे TGW अटैचमेंट ENI पर वापस भेजता है; TGW इसे अंतिम गंतव्य तक रूट करता है।

Transit Gateway का उपयोग करके VPCs (उदाहरण के लिए, prod बनाम dev) को विभाजित करना, जबकि दोनों को एक साझा सेवा VPC तक पहुंचने की अनुमति देना।

→कई Transit Gateway रूट टेबल का उपयोग करें। प्रत्येक सेगमेंट (prod, dev, shared) के लिए एक रूट टेबल बनाएं। VPCs को उनकी संबंधित तालिकाओं से संबद्ध करें। एक हब-स्पोक टोपोलॉजी बनाने के लिए रूट्स को प्रोपगेट करें जहां स्पोक केवल हब को देख सकें।

क्यों: TGW रूट टेबल एसोसिएशन और प्रोपेगेशन नेटवर्क लेयर पर नेटवर्क सेगमेंटेशन और ट्रैफिक आइसोलेशन के लिए प्राथमिक तंत्र हैं।

एक सिंगल रीजन में होस्ट किए गए डायनेमिक, गैर-कैशे योग्य वैश्विक एप्लिकेशन (जैसे, API, गेमिंग) के लिए विलंबता कम करें।

→AWS Global Accelerator का उपयोग करें। यह एनीकास्ट IPs प्रदान करता है जो उपयोगकर्ताओं को निकटतम AWS एज लोकेशन पर रूट करते हैं, फिर ट्रैफिक ऑप्टिमाइज़्ड AWS बैकबोन से ओरिजिन तक जाता है।

क्यों: Global Accelerator AWS नेटवर्क पर "फर्स्ट माइल" और "मिडिल माइल" को ऑप्टिमाइज़ करता है, जिससे TCP/UDP ट्रैफिक के लिए विलंबता और जिटर कम होता है। CloudFront कैशे योग्य कंटेंट के लिए बेहतर है।

इंटरनेट के माध्यम से गुजरे बिना VPC से S3 और DynamoDB तक निजी पहुंच प्रदान करें।

→S3 और DynamoDB के लिए Gateway VPC Endpoints बनाएं। यह निर्दिष्ट सबनेट रूट टेबल में प्रीफिक्स लिस्ट एंट्री जोड़ता है।

क्यों: Gateway एंडपॉइंट्स S3 और DynamoDB निजी पहुंच के लिए विशिष्ट, उच्च-प्रदर्शन और बिना लागत वाले तंत्र हैं। अन्य सेवाएँ Interface Endpoints (PrivateLink) का उपयोग करती हैं।

एक ही ऑन-प्रिमाइसेस Direct Connect कनेक्शन से कई AWS रीजनों में VPCs तक पहुंचें।

→Transit Virtual Interface (T-VIF) के साथ एक Direct Connect Gateway का उपयोग करें। प्रत्येक आवश्यक रीजन में DX Gateway को Transit Gateways के साथ संबद्ध करें।

क्यों: DX Gateway के साथ एक Transit VIF रीजनों में कई Transit Gateways से जुड़ने के लिए स्केलेबल समाधान है। DX Gateway के साथ एक Private VIF की सीमाएँ कम होती हैं।

पारदर्शी ट्रैफिक निरीक्षण के लिए एक थर्ड-पार्टी वर्चुअल फ़ायरवॉल एप्लायंस को एकीकृत करें।

→Gateway Load Balancer (GWLB) का उपयोग करें। यह लेयर 3 पर काम करता है और ट्रैफिक को एन्कैप्सुलेट करने के लिए GENEVE प्रोटोकॉल का उपयोग करता है, जिससे मूल स्रोत/गंतव्य IP संरक्षित रहता है।

क्यों: GWLB का GENEVE एनकैप्सुलेशन इसे "बम्प-इन-द-वायर" बनाता है, जो सोर्स NAT की आवश्यकता के बिना नेटवर्क पाथ में उपकरणों को पारदर्शी रूप से सम्मिलित करता है, जो सुरक्षा उपकरणों के लिए महत्वपूर्ण है।

ओवरलैप को रोकने और उपयोग को ट्रैक करने के लिए एक मल्टी-अकाउंट संगठन में सैकड़ों VPCs के लिए IP एड्रेस आवंटन का प्रबंधन करें।

→Amazon VPC IP Address Manager (IPAM) का उपयोग करें। एक टॉप-लेवल पूल बनाएं और VPC CIDR आवंटन को स्वचालित करने के लिए रीजनल पूल्स को डेलिगेट करें।

क्यों: VPC IPAM केंद्रीकृत IP एड्रेस प्रबंधन के लिए उद्देश्य-निर्मित, स्केलेबल AWS सेवा है, जो त्रुटि-प्रवण मैन्युअल तरीकों को प्रतिस्थापित करती है।

GRE टनल और डायनेमिक BGP राउटिंग का उपयोग करके एक थर्ड-पार्टी SD-WAN एप्लायंस को Transit Gateway के साथ एकीकृत करें।

→एक Transit Gateway Connect अटैचमेंट का उपयोग करें।

क्यों: TGW Connect विशेष रूप से SD-WAN एकीकरण के लिए डिज़ाइन किया गया है। यह उच्च बैंडविड्थ (प्रति पीयर 5 Gbps तक) के लिए GRE और डायनेमिक राउटिंग के लिए BGP का समर्थन करता है।

एक IPv6-ओनली VPC को इंटरनेट पर IPv4-ओनली संसाधनों के साथ संवाद करने की आवश्यकता है।

→VPC की Route 53 Resolver सेटिंग्स पर DNS64 सक्षम करें और एक पब्लिक सबनेट में एक NAT Gateway कॉन्फ़िगर करें। `64:ff9b::/96` को NAT Gateway पर रूट करें।

क्यों: DNS64 IPv4 गंतव्यों के लिए AAAA रिकॉर्ड संश्लेषित करता है। NAT Gateway संश्लेषित IPv6 एड्रेस से वास्तविक IPv4 एड्रेस तक NAT64 प्रोटोकॉल अनुवाद करता है।

कई रीजनों में सैकड़ों VPCs को सख्त सेगमेंटेशन आवश्यकताओं (prod, dev, shared services) के साथ कनेक्ट करें।

→AWS Cloud WAN का उपयोग करें। वैश्विक स्तर पर इंटर-सेगमेंट राउटिंग को नियंत्रित करने के लिए एक सिंगल कोर नेटवर्क पॉलिसी में सेगमेंट और सेगमेंट एक्शन को परिभाषित करें।

क्यों: Cloud WAN एक केंद्रीकृत, डिक्लेरेटिव ग्लोबल नेटवर्क पॉलिसी प्रदान करता है, जो प्रत्येक रीजन में Transit Gateway पीयरिंग और रूट टेबल के पूर्ण मेश के प्रबंधन की तुलना में अधिक स्केलेबल और कम जटिल है।

बढ़ी हुई बैंडविड्थ और लिंक रिडंडेंसी के लिए एक ही स्थान पर कई Direct Connect कनेक्शनों को एकत्र करना।

→एक Link Aggregation Group (LAG) कॉन्फ़िगर करें। सभी कनेक्शनों में समान बैंडविड्थ होनी चाहिए और वे एक ही AWS डिवाइस पर समाप्त होने चाहिए।

क्यों: LAGs भौतिक लिंक को एक लॉजिकल लिंक में बंडल करते हैं। यह लिंक-स्तर का फ़ेलओवर प्रदान करता है लेकिन डिवाइस या स्थान की विफलता से सुरक्षा नहीं करता है। फ़ेलओवर थ्रेशोल्ड को परिभाषित करने के लिए `minimum links` का उपयोग करें।

मल्टी-रीजन एप्लिकेशन के लिए 60 सेकंड से कम का DNS फ़ेलओवर प्राप्त करें।

→हेल्थ चेक के साथ Route 53 फ़ेलओवर राउटिंग का उपयोग करें। कम विफलता थ्रेशोल्ड (1) के साथ तेज़ अंतराल (10s) हेल्थ चेक कॉन्फ़िगर करें। एलियास रिकॉर्ड या बहुत कम TTLs (उदाहरण के लिए, 10-60s) का उपयोग करें।

क्यों: तेज़ फ़ेलओवर के लिए तीव्र पहचान (तेज़ हेल्थ चेक) और तीव्र क्लाइंट-साइड अपडेट (कम TTLs या एलियास रिकॉर्ड जिनमें डायनेमिक TTLs होते हैं) की आवश्यकता होती है।

एक साथ Site-to-Site VPN कनेक्शन की दोनों टनल का उपयोग करके कुल VPN थ्रूपुट बढ़ाएं।

→VPN को Transit Gateway से अटैच करें। Transit Gateway VPN अटैचमेंट पर ECMP सपोर्ट सक्षम करें।

क्यों: डिफ़ॉल्ट रूप से, TGW से VPN केवल एक टनल का उपयोग कर सकता है। यदि BGP रूट्स समान-लागत वाले हैं तो TGW अटैचमेंट पर ECMP सक्षम करने से ट्रैफिक दोनों टनल में वितरित हो जाता है।

सुनिश्चित करें कि Network Load Balancer के पीछे के बैकएंड TCP सेवाएँ मूल क्लाइंट IP एड्रेस देखें।

→इंस्टेंस ID द्वारा टारगेट रजिस्टर करें। यदि टारगेट IP द्वारा पंजीकृत हैं, तो टारगेट ग्रुप पर Proxy Protocol v2 सक्षम करें।

क्यों: जब टारगेट इंस्टेंस ID द्वारा पंजीकृत होते हैं, तो NLB डिफ़ॉल्ट रूप से क्लाइंट IP को संरक्षित रखता है। यदि IP द्वारा पंजीकृत हैं, तो NLB का IP स्रोत बन जाता है, और मूल IP पास करने के लिए Proxy Protocol v2 की आवश्यकता होती है।

जब कई Direct Connect पाथ मौजूद हों तो AWS ऑन-प्रिमाइसेस नेटवर्क पर ट्रैफिक को कैसे वापस रूट करता है, इसे प्रभावित करें।

→ऑन-प्रिमाइसेस राउटर से कम-पसंदीदा पाथ पर BGP AS पाथ प्रीपेंडिंग का उपयोग करें।

क्यों: AWS से आउटबाउंड ट्रैफिक के लिए, प्राथमिक ग्राहक-नियंत्रित तंत्र AS पाथ की लंबाई है। AWS सबसे छोटे AS पाथ वाले पाथ को प्राथमिकता देता है। आप AWS साइड पर लोकल प्रेफरेंस कॉन्फ़िगर नहीं कर सकते।

एक AWS Organization में स्पोक अकाउंट्स को केंद्रीय नेटवर्किंग अकाउंट के स्वामित्व वाले Transit Gateway से अपने VPCs को अटैच करने में सक्षम करें।

→AWS Resource Access Manager (RAM) का उपयोग करें। नेटवर्किंग अकाउंट Transit Gateway को Organization या विशिष्ट OUs के साथ साझा करता है।

क्यों: RAM खातों के बीच Transit Gateways जैसे संसाधनों को साझा करने के लिए डिज़ाइन की गई विशिष्ट AWS सेवा है। यह केंद्रीकृत प्रबंधन की अनुमति देता है जबकि स्पोक खातों के लिए सेल्फ-सर्विस अटैचमेंट को सक्षम करता है।

एक सिंगल VPN टनल की 1.25 Gbps सीमा से परे थ्रूपुट को एकत्र करें।

→ECMP सक्षम Transit Gateway से कई Site-to-Site VPN कनेक्शन बनाएं।

क्यों: प्रत्येक VPN टनल ~1.25 Gbps तक सीमित है। स्केल करने के लिए, आपको कई टनल/कनेक्शन का उपयोग करना चाहिए और उनके बीच ट्रैफिक को लोड-बैलेंस करने के लिए Transit Gateway पर ECMP का लाभ उठाना चाहिए।

एक आंतरिक, गैर-इंटरनेट-फेसिंग संसाधन जैसे आंतरिक ALB के लिए Route 53 हेल्थ चेक कॉन्फ़िगर करें।

→एक CloudWatch अलार्म बनाएं जो आंतरिक संसाधन के लिए एक मीट्रिक (उदाहरण के लिए, ALB के लिए `HealthyHostCount`) की निगरानी करता है। CloudWatch अलार्म की स्थिति की निगरानी के लिए Route 53 हेल्थ चेक कॉन्फ़िगर करें।

क्यों: Route 53 हेल्थ चेकर बाहरी होते हैं। आंतरिक संसाधनों की निगरानी के लिए, उन्हें CloudWatch अलार्म स्थिति जैसे प्रॉक्सी सिग्नल की निगरानी करनी चाहिए, जिसे आंतरिक मेट्रिक्स द्वारा ट्रिगर किया जा सकता है।

जब प्राथमिक ओरिजिन (उदाहरण के लिए, एक ALB) 5xx त्रुटियाँ लौटाता है, तो CloudFront ट्रैफिक को स्वचालित रूप से एक सेकेंडरी ओरिजिन (उदाहरण के लिए, एक स्टैटिक S3 साइट) पर फ़ेलओवर करें।

→ALB को प्राथमिक और S3 को सेकेंडरी के रूप में एक CloudFront Origin Group बनाएं। इसे निर्दिष्ट स्टेटस कोड (उदाहरण के लिए, 500, 502, 503, 504) पर फ़ेलओवर के लिए कॉन्फ़िगर करें।

क्यों: Origin Groups उच्च उपलब्धता के लिए मूल CloudFront तंत्र हैं, जो DNS परिवर्तनों की आवश्यकता के बिना एज पर सहज फ़ेलओवर प्रदान करते हैं।

बैकअप VPN या सेकेंडरी DX पाथ के लिए Direct Connect कनेक्शन के लिए सब-सेकंड फ़ेलओवर प्राप्त करें।

→Direct Connect वर्चुअल इंटरफेस पर Bidirectional Forwarding Detection (BFD) सक्षम करें। ऑन-प्रिमाइसेस राउटर पर BFD कॉन्फ़िगर करें।

क्यों: BFD BGP कीपालिव टाइमर (डिफ़ॉल्ट 90s) की तुलना में बहुत तेज़ लिंक विफलता का पता लगाने (300ms जितना कम) प्रदान करता है, जिससे तीव्र ट्रैफिक रिकंवर्जेंस सक्षम होता है।

दो अलग-अलग रीजनों में Transit Gateways के बीच कनेक्टिविटी सक्षम करें।

→एक Transit Gateway पीयरिंग कनेक्शन स्थापित करें। पीयरिंग अटैचमेंट के माध्यम से रिमोट रीजन के CIDRs की ओर इशारा करते हुए प्रत्येक TGW रूट टेबल में मैन्युअल रूप से स्टैटिक रूट्स जोड़ें।

क्यों: महत्वपूर्ण रूप से, Transit Gateway इंटर-रीजन पीयरिंग डायनेमिक रूट प्रोपेगेशन का समर्थन नहीं करता है। सभी क्रॉस-रीजन रूट्स को स्टैटिक रूप से कॉन्फ़िगर किया जाना चाहिए।

AWS के भीतर कनेक्टिविटी समस्याओं का निवारण करें, विशिष्ट अवरोधक घटक (उदाहरण के लिए, रूट, NACL, SG) की पहचान करके।

→VPC Reachability Analyzer का उपयोग करें। एक स्रोत और गंतव्य निर्दिष्ट करें, और यह नेटवर्क पाथ कॉन्फ़िगरेशन का एक स्टैटिक विश्लेषण करता है।

क्यों: Reachability Analyzer AWS नेटवर्क कंस्ट्रक्ट्स का एक निश्चित, हॉप-बाय-हॉप विश्लेषण प्रदान करता है, जो ट्रेसेरूट (जो काम नहीं कर सकता है) या मैन्युअल रूप से हर घटक की जांच करने से अधिक प्रभावी है।

अनुपालन के लिए विस्तृत VPC Flow Logs का दीर्घकालिक भंडारण और एड-हॉक क्वेरीइंग।

→कस्टम फ़ील्ड लेआउट के साथ Parquet फॉर्मेट में सीधे S3 पर फ़्लो लॉग प्रकाशित करें। SQL-आधारित एड-हॉक क्वेरी के लिए Amazon Athena का उपयोग करें।

क्यों: S3 सबसे अधिक लागत प्रभावी भंडारण है। Parquet फॉर्मेट एथेना क्वेरी के लिए अत्यधिक कुशल है, स्कैन लागत को कम करता है और प्रदर्शन में सुधार करता है। यह फ़्लो लॉग विश्लेषण के लिए सर्वरलेस, स्केलेबल पैटर्न है।

एक AWS Organization में सभी VPCs में अनिवार्य सुरक्षा समूह नियमों को केंद्रीय रूप से लागू करें और गैर-अनुपालन को स्वचालित रूप से ठीक करें।

→एक सुरक्षा समूह ऑडिट पॉलिसी के साथ AWS Firewall Manager का उपयोग करें। आवश्यक नियमों को परिभाषित करें और गैर-अनुपालक समूहों को स्वचालित रूप से ठीक करने के लिए पॉलिसी को कॉन्फ़िगर करें।

क्यों: Firewall Manager एक Organization में सुरक्षा नीतियों (WAF, SG, NFW) के लिए केंद्रीकृत शासन उपकरण है। ऑटो-रेमेडिएशन के साथ इसकी ऑडिट पॉलिसी प्रवर्तन प्रदान करती है।

रीजनों और खातों में Transit Gateways, VPNs, और Direct Connect सहित एक वैश्विक नेटवर्क टोपोलॉजी को विज़ुअलाइज़ और मॉनिटर करें।

→AWS Network Manager का उपयोग करें। एक केंद्रीकृत डैशबोर्ड, टोपोलॉजी मैप और हेल्थ मॉनिटरिंग प्राप्त करने के लिए Transit Gateways को एक ही वैश्विक नेटवर्क में रजिस्टर करें।

क्यों: Network Manager जटिल, वैश्विक AWS नेटवर्कों के लिए एक सिंगल-पेन-ऑफ-ग्लास प्रदान करने के लिए उद्देश्य-निर्मित है, जो निगरानी और प्रबंधन को समेकित करता है।

Direct Connect कनेक्शन पर रुक-रुक कर होने वाले पैकेट लॉस या त्रुटियों का निदान करें।

→Direct Connect CloudWatch मेट्रिक्स (`ConnectionErrorCount`) की जांच करें। ग्राहक राउटर पर, ऑप्टिकल सिग्नल स्तरों (Tx/Rx लाइट स्तर) और इंटरफेस त्रुटि काउंटर (CRC त्रुटियाँ, इनपुट त्रुटियाँ) की जांच करें।

क्यों: पैकेट लॉस एक भौतिक परत की समस्या हो सकती है। डिग्रेडिंग फ़ाइबर ऑप्टिक केबल या ट्रांसीवर जैसी समस्याओं को अलग करने के लिए AWS-साइड मेट्रिक्स और ग्राहक-साइड राउटर डायग्नोस्टिक्स दोनों की आवश्यकता होती है।

गैर-अनुपालक नेटवर्क कॉन्फ़िगरेशन, जैसे सार्वजनिक SSH एक्सेस की अनुमति देने वाले सुरक्षा समूह का स्वचालित रूप से पता लगाएं और उसका समाधान करें।

→एक प्रबंधित नियम (उदाहरण के लिए, `restricted-ssh`) के साथ AWS Config का उपयोग करें और एक SSM ऑटोमेशन दस्तावेज़ का उपयोग करके एक स्वचालित समाधान कार्रवाई कॉन्फ़िगर करें।

क्यों: यह एक क्लोज्ड-लूप अनुपालन प्रणाली प्रदान करता है। AWS Config उल्लंघन का पता लगाता है, और इसकी समाधान कार्रवाई कॉन्फ़िगरेशन को स्वचालित रूप से ठीक करने के लिए एक SSM दस्तावेज़ को ट्रिगर करती है।

इंटरनेट या अन्य अविश्वसनीय नेटवर्कों से संवेदनशील संसाधनों तक अनपेक्षित नेटवर्क पहुंच पाथों की सक्रिय रूप से पहचान करें।

→VPC Network Access Analyzer का उपयोग करें। एक एक्सेस स्कोप परिभाषित करें और मिलान करने वाले सभी संभावित नेटवर्क पाथ की सूची प्राप्त करने के लिए एक विश्लेषण चलाएं।

क्यों: यह उपकरण एक औपचारिक नेटवर्क सत्यापन करता है, संभावित पाथ खोजने के लिए सभी घटकों (SGs, NACLs, TGW, IGW) का विश्लेषण करता है, जो मैन्युअल जांच या प्रतिक्रियाशील निगरानी से अधिक व्यापक है।

कई सदस्य खातों से VPC Flow Logs, DNS Query Logs, और Network Firewall लॉग को एक केंद्रीय लॉगिंग खाते में एकत्रित करें।

→सदस्य खातों में सेवाओं को कॉन्फ़िगर करें ताकि वे क्रॉस-अकाउंट बकेट नीतियों और IAM रोल्स का उपयोग करके लॉगिंग खाते में एक केंद्रीकृत S3 बकेट (Flow Logs/NFW के लिए) या CloudWatch Log Group (DNS लॉग के लिए) पर सीधे लॉग प्रकाशित करें।

क्यों: प्रत्यक्ष क्रॉस-अकाउंट लॉग पब्लिशिंग सबसे कुशल और स्केलेबल पैटर्न है, जो एजेंटों या जटिल डेटा पाइपलाइनों की आवश्यकता के बिना मूल AWS क्षमताओं का लाभ उठाता है।

Transit Gateway हब-एंड-स्पोक आर्किटेक्चर में VPCs के विशिष्ट जोड़े के बीच उच्च-वॉल्यूम ट्रैफिक के लिए नेटवर्क लागत को ऑप्टिमाइज़ करें।

→उच्च-ट्रैफिक VPC जोड़े के लिए, Transit Gateway को बाईपास करने के लिए एक सीधा VPC पीयरिंग कनेक्शन बनाएं। अन्य सभी हब-स्पोक ट्रैफिक के लिए TGW रखें।

क्यों: VPC पीयरिंग में प्रति GB डेटा प्रोसेसिंग चार्ज नहीं होता है (केवल मानक डेटा ट्रांसफर), जबकि Transit Gateway में होता है। उच्च-वॉल्यूम पॉइंट-टू-पॉइंट ट्रैफिक को पीयरिंग में ले जाने से लागत में काफी कमी आती है।

लाइन-रेट प्रदर्शन के लिए लेयर 2 पर Direct Connect ट्रैफिक को एन्क्रिप्ट करें।

→MACsec (IEEE 802.1AE) सक्षम करें। MACsec-सक्षम स्थान पर एक समर्पित 10Gbps या 100Gbps कनेक्शन की आवश्यकता होती है।

क्यों: MACsec ग्राहक राउटर और AWS डिवाइस के बीच हॉप-बाय-हॉप एन्क्रिप्शन प्रदान करता है, जिससे न्यूनतम प्रदर्शन ओवरहेड के साथ भौतिक लिंक सुरक्षित रहता है।

एक वेब एप्लिकेशन को सामान्य हमलों (SQLi, XSS) से सुरक्षित रखें और देश द्वारा पहुंच को प्रतिबंधित करें।

→AWS WAF का उपयोग करें। ALB/CloudFront से एक वेब ACL संलग्न करें। AWS Managed Rule Groups (उदाहरण के लिए, `AWSManagedRulesSQLiRuleSet`, `AWSManagedRulesCommonRuleSet`) का उपयोग करें और एक जियो-मैच नियम बनाएं।

क्यों: AWS Managed Rules सामान्य खतरों के लिए आउट-ऑफ-द-बॉक्स सुरक्षा प्रदान करते हैं, जबकि जियो-मैच नियम भौगोलिक नियंत्रण प्रदान करते हैं। यह मानक WAF कार्यान्वयन पैटर्न है।

एक VPC के भीतर मल्टी-टियर एप्लिकेशन आइसोलेशन (उदाहरण के लिए, वेब -> ऐप -> db) लागू करें।

→प्रत्येक टियर के लिए एक सुरक्षा समूह बनाएं। नियमों में सुरक्षा समूह ID संदर्भों का उपयोग करें (उदाहरण के लिए, app-sg वेब-sg से प्रवेश की अनुमति देता है)।

क्यों: सुरक्षा समूहों का संदर्भ CIDR श्रेणियों का उपयोग करने की तुलना में अधिक गतिशील और सुरक्षित है। यह स्वचालित रूप से अनुकूलित होता है क्योंकि इंस्टेंस एक टियर से जोड़े या हटाए जाते हैं।

DNS टनलिंग और C2 सर्वर के साथ संचार जैसे DNS-आधारित खतरों की निगरानी और पता लगाएं।

→Route 53 Resolver क्वेरी लॉगिंग सक्षम करें। Amazon GuardDuty सक्षम करें, जो DNS क्वेरी लॉग को डेटा स्रोत के रूप में विश्लेषण करता है।

क्यों: GuardDuty में निर्मित थ्रेट इंटेलिजेंस है जो ज्ञात दुर्भावनापूर्ण डोमेन, DGAs, और डेटा एक्सफ़िल्ट्रेशन के सूचक असामान्य क्वेरी पैटर्न का पता लगाने के लिए DNS लॉग का विश्लेषण करता है।

सुनिश्चित करें कि S3 सामग्री केवल CloudFront के माध्यम से एक्सेस की जा सकती है, सीधे S3 URL के माध्यम से नहीं, जबकि अन्य IAM प्रिंसिपलों को भी एक्सेस की अनुमति हो।

→Origin Access Control (OAC) का उपयोग करें। S3 बकेट पॉलिसी को अपडेट करें ताकि OAC सेवा प्रिंसिपल और किसी भी अन्य आवश्यक IAM भूमिकाओं/उपयोगकर्ताओं से पहुंच की अनुमति मिल सके।

क्यों: OAC, OAI का आधुनिक प्रतिस्थापन है। यह एक सेवा प्रिंसिपल बनाता है जिसे बकेट नीतियों में संदर्भित किया जा सकता है, जिससे अधिक दानेदार और लचीला एक्सेस कंट्रोल मिलता है।

उपयोगकर्ताओं को CloudFront को बायपास करने और सीधे ALB ओरिजिन तक पहुंचने से रोकें।

→CloudFront को ओरिजिन रिक्वेस्ट में एक गुप्त मान के साथ एक कस्टम HTTP हेडर जोड़ने के लिए कॉन्फ़िगर करें। एक ALB लिसनर नियम बनाएं जो इस हेडर और मान की जांच करता है, उन रिक्वेस्ट को ब्लॉक करता है जिनमें यह नहीं होता है।

क्यों: यह IP-आधारित प्रतिबंधों (प्रबंधित प्रीफिक्स लिस्ट का उपयोग करके) की तुलना में अधिक मजबूत सुरक्षा प्रदान करता है, क्योंकि यह सत्यापित करता है कि रिक्वेस्ट आपके विशिष्ट डिस्ट्रीब्यूशन से आया है। रक्षा-इन-डेप्थ के लिए दोनों का उपयोग करें।

एजेंट स्थापित किए बिना फोरेंसिक विश्लेषण के लिए एक विशिष्ट EC2 इंस्टेंस से पूर्ण नेटवर्क पैकेट डेटा कैप्चर करें।

→VPC Traffic Mirroring का उपयोग करें। इंस्टेंस के ENI पर एक मिरर सेशन कॉन्फ़िगर करें ताकि ट्रैफिक को एक टारगेट पर कॉपी किया जा सके (उदाहरण के लिए, विश्लेषण टूल के सामने एक NLB)।

क्यों: Traffic Mirroring एजेंट रहित, पूर्ण पैकेट कैप्चर प्रदान करता है, जो गहन फोरेंसिक विश्लेषण के लिए आवश्यक है। फ़्लो लॉग केवल मेटाडेटा प्रदान करते हैं।

सार्वजनिक-फेसिंग अनुप्रयोगों के लिए व्यापक DDoS सुरक्षा प्रदान करें।

→AWS Shield Advanced की सदस्यता लें। महत्वपूर्ण संसाधनों (CloudFront, ALB, EIPs, Route 53) के साथ सुरक्षा संबद्ध करें। लेयर 7 शमन के लिए AWS WAF का उपयोग करें। हमलों के दौरान शील्ड रिस्पांस टीम (SRT) को शामिल करें।

क्यों: Shield Advanced DDoS-प्रेरित स्केलिंग के खिलाफ बढ़ी हुई पहचान, लागत सुरक्षा, और विशेषज्ञ सहायता के लिए SRT तक पहुंच प्रदान करता है, जो व्यवसाय-महत्वपूर्ण अनुप्रयोगों के लिए महत्वपूर्ण है।

एक निजी Certificate Authority से आंतरिक माइक्रोसर्विस के लिए TLS प्रमाणपत्र जारी करें और स्वचालित रूप से घुमाएं।

→CA बनाने के लिए AWS Private Certificate Authority (Private CA) का उपयोग करें। उस CA से निजी प्रमाणपत्रों के जीवनचक्र (स्वचालित नवीनीकरण सहित) को जारी करने और प्रबंधित करने के लिए AWS Certificate Manager (ACM) का उपयोग करें।

क्यों: यह संयोजन एक पूरी तरह से प्रबंधित निजी PKI समाधान प्रदान करता है, जो सार्वजनिक एक्सपोजर के बिना आंतरिक प्रमाणपत्रों के जटिल जीवनचक्र को स्वचालित करता है।

एक AWS Organization के किसी भी सदस्य खाते में किसी भी उपयोगकर्ता को इंटरनेट गेटवे बनाने या संलग्न करने से रोकें।

→ऑर्गेनाइजेशन रूट पर एक Service Control Policy (SCP) लागू करें जो `ec2:CreateInternetGateway` और `ec2:AttachInternetGateway` क्रियाओं को अस्वीकार करती है।

क्यों: SCPs निवारक गार्ड्रेल प्रदान करते हैं जिन्हें सदस्य खातों के भीतर IAM नीतियों द्वारा ओवरराइड नहीं किया जा सकता है, जिससे वे संगठन-व्यापी सुरक्षा नीतियों को लागू करने के लिए निश्चित उपकरण बन जाते हैं।

AWS Network Firewall का उपयोग करके खतरों के लिए HTTPS ट्रैफिक को डिक्रिप्ट और निरीक्षण करें, फिर इसे फिर से एन्क्रिप्ट करें।

→ACM में एक CA प्रमाणपत्र बनाएं या आयात करें। फ़ायरवॉल पॉलिसी में एक TLS निरीक्षण कॉन्फ़िगरेशन बनाएं जो इस CA को संदर्भित करता है। CA प्रमाणपत्र को क्लाइंट सिस्टम पर एक विश्वसनीय रूट CA के रूप में वितरित करें।

क्यों: Network Firewall मैन-इन-द-मिडिल दृष्टिकोण के माध्यम से TLS निरीक्षण करता है, जो आपके द्वारा प्रदान किए गए CA का उपयोग करके उड़ते हुए प्रमाणपत्रों को फिर से साइन करता है। प्रमाणपत्र त्रुटियों से बचने के लिए क्लाइंट को इस CA पर भरोसा करना चाहिए।

एक AWS Organization में सभी VPCs में ज्ञात दुर्भावनापूर्ण डोमेन के लिए DNS क्वेरी को ब्लॉक करें।

→AWS प्रबंधित डोमेन सूचियों का उपयोग करके एक केंद्रीय खाते में DNS फ़ायरवॉल नियम समूह बनाएं। RAM के माध्यम से नियम समूहों को साझा करें और उन्हें सदस्य खातों में VPCs से संबद्ध करें।

क्यों: DNS Firewall DNS रिज़ॉल्यूशन लेयर पर दुर्भावनापूर्ण डोमेन को ब्लॉक करने के लिए प्रबंधित, केंद्रीय रूप से अद्यतन करने योग्य थ्रेट इंटेलिजेंस प्रदान करता है, जो एक महत्वपूर्ण सुरक्षा नियंत्रण है।

एप्लिकेशन परिवर्तनों के बिना एक ही VPC में EC2 इंस्टेंस के बीच सभी नेटवर्क ट्रैफिक को एन्क्रिप्ट करें।

→AWS Nitro System-आधारित इंस्टेंस प्रकारों का उपयोग करें।

क्यों: Nitro इंस्टेंस हार्डवेयर स्तर पर इंस्टेंस के बीच सभी ट्रैफिक को स्वचालित रूप से एन्क्रिप्ट करते हैं, जिससे बिना किसी कॉन्फ़िगरेशन के पारदर्शी, लाइन-रेट एन्क्रिप्शन प्रदान होता है।