Introduction

Ce document fournit des instructions pour configurer une appliance virtuelle Covalence sur AWS et Microsoft Azure.

Une appliance virtuelle Covalence est nécessaire dans chaque région où vous souhaitez mettre en miroir le trafic. Si vous êtes présent dans plusieurs régions, la mise en miroir du trafic peut être réalisée à l'aide de VPC Peering.

Si vos régions secondaires produisent un volume important de trafic, les coûts de la bande passante interrégionale peuvent devenir un problème. Dans ce cas, un CVA distant peut être configuré dans chaque région.

Cette section est divisée en deux parties :

1. Installation et configuration initiales de l'appliance virtuelle Covalence.
2. Exemple de configuration pour la mise en miroir du trafic VPC.

Mise en place d'un Virtual Cloud Appliance (AWS)

Cette section décrit la création d'une instance EC2 à l'aide de la console web AWS. Elle n'inclut pas les instructions relatives à l'achat et à la configuration d'instances réservées (pour bénéficier de tarifs réduits sur AWS).

1. Dans votre console AWS EC2, cliquez sur Launch Instance.2.

2. Sélectionnez la dernière version 64-bit x86 d'Ubuntu Server 20.04 LTS.

3. Sélectionnez "t3.2xlarge" comme type d'instance et cliquez sur Configure Instance Details.

Pour le réseau, sélectionnez le nuage privé virtuel (VPC) et le sous-réseau appropriés.

• REMARQUE : L'Appliance Virtuelle Covalence n'a pas besoin d'être accessible directement depuis l'internet. Mais le groupe de sécurité (SG) doit lui permettre d'établir une connexion VPN avec les serveurs de Field Effect, ainsi qu'avec les emplacements normaux de mise à jour des paquets.
• REMARQUE :Si la mise en miroir du trafic VPC est prévue :
  • L'appliance virtuelle Covalence doit être dans le même VPC que les sources de trafic miroir, ou le VPC Peering doit être configuré entre les VPCs.
  • Le SG doit autoriser le port UDP 4789 *entrant* de la (des) source(s) miroir(s).
• REMARQUE : toute connectivité d'agent de point final depuis l'extérieur du VPC local est activée en utilisant un relais dédié géré par Field Effect.

5. La plupart des options restantes doivent être laissées par défaut (exemples : "domain join directory : No directory", "IAM role : None").

6. Dans le champ Détails avancés > Données utilisateur, sélectionnez "En tant que texte" et collez le texte de configuration "cloud init" fourni dans ce champ.

7. Cliquez sur Suivant : Ajouter un stockage.

8. Réglez la "Taille" sur 1500 GiB et changez le "Type de volume" en SSD à usage général (gp3).

9. Nous vous recommandons d'activer le chiffrement EBS à l'aide d'AWS KMS.

10. Cliquez sur Suivant : Configurez les balises et ajoutez les balises utilisées par votre organisation.

11. Sélectionnez Next (Suivant) : Configurer le groupe de sécurité. Vous pouvez utiliser un groupe de sécurité existant ou en créer un nouveau. Si vous créez un nouveau SG, les conditions essentielles pour Field Effect sont les suivantes :

• Entrant : UDP 4789 à partir de l'IP source du miroir (le cas échéant)
• Sortie : Tous

12. Sélectionnez Examiner et lancer, puis cliquez sur Lancer. À ce stade, vous pouvez sélectionner une paire de clés ou choisir de procéder sans paire de clés. Les données de l'utilisateur du cloud-init fournies remplaceront toute clé SSH ajoutée à ce stade.

A ce stade, l'appliance virtuelle Covalence démarrera et établira une connexion VPN sécurisée avec les opérateurs de Field Effect, qui effectueront une configuration finale.

NOTE : si vous utilisez la mise en miroir du trafic VPC, prenez note de l'interface réseau élastique (ENI) associée à votre appliance virtuelle Covalence.

Mise en place d'un miroir de trafic VPC dans AWS

Étant donné qu'AWS prend en charge la mise en miroir du trafic VPC, vous pouvez exploiter ces données de capture de paquets réseau complets pour mieux comprendre les menaces potentielles.

Un seul CVA peut servir de cible de miroir pour de nombreuses sessions de miroir, et cette section fournit une marche à suivre pour le processus de configuration. Nous recommandons toutefois d'utiliser un outil automatisé (voici un exemple) pour configurer la mise en miroir du trafic VPC dans votre environnement.

Quelques mises en garde et limitations importantes :

• Malgré son nom, la mise en miroir du trafic VPC d'AWS ne reflète qu'une seule interface réseau élastique (ENI) à la fois, et non l'ensemble du trafic VPC.
  1. Les sources miroirs doivent être construites sur le système AWS Nitro.

Les étapes suivantes sont nécessaires pour configurer la mise en miroir du trafic sur votre appliance virtuelle Covalence :

Créer une cible de miroir de trafic

1. Dans le tableau de bord AWS VPC, sélectionnez Cibles miroir sur la gauche et cliquez sur Créer une cible miroir de trafic.

2. Le formulaire "Créer une cible miroir de trafic" s'affiche à l'écran Définissez les paramètres suivants :

3. Paramètres de la cible (facultatif) :

• Porte-nom - facultatif : Appareil Covalence
• Description - optionnel : Ingress Traffic to Covalence

4. Sélectionnez Cible :

• Type de cible : Interface réseau
• Cible : définie sur l'interface réseau élastique de l'appliance virtuelle Covalence créée précédemment. Elle peut être récupérée dans l'onglet Réseau de la section Détails de l'instance.

Créer un filtre miroir de trafic

1. Dans le tableau de bord AWS VPC, sélectionnez "Mirror Filters" sur la gauche et cliquez sur Create traffic mirror filter (Créer un filtre miroir de trafic).
2. Le formulaire "Create traffic mirror filter" (Créer un filtre miroir de trafic) s'affiche à l'écran. Sur ce formulaire, indiquez les règles Inbound et Outbound pour le trafic à mettre en miroir sur l'appliance.
3. Pour refléter tout le trafic IP, ajoutez "0.0.0.0/0" dans les blocs CIDR. Le trafic le plus prioritaire pour Covalence est le trafic "nord/sud" vers et depuis vos instances EC2/VPC et l'internet, assurez-vous donc de l'ajouter.
4. NB : Sous network services - optional, la case 'amazon-dns' doit être cochée. Cela permet de s'assurer que le trafic DNS est également reflété.
5. Ces règles sont adaptées à votre environnement, mais voici un exemple de formulaire :

Créer une session de miroir de trafic

1. Dans le tableau de bord AWS VPC, sélectionnez "Mirror Sessions" sur la gauche et cliquez sur Create traffic mirror session (Créer une session miroir de trafic). Le formulaire "Create traffic mirror session" (Créer une session miroir de trafic) s'affiche à l'écran.
2. En utilisant les Mirror Target et Mirror Filters créés précédemment, nous pouvons maintenant établir une session étiquetée à envoyer à l'appliance Covalence. Voici un exemple de formulaire :
3. Une fois terminé, l'Appliance Virtuelle Covalence devrait maintenant être configurée pour recevoir du trafic réseau et sera configurée par Field Effect pour votre organisation.

Notes pour les sessions de miroir de trafic :

• Seules les interfaces réseau élastiques (ENI) associées à des instances de type Nitro peuvent être utilisées comme source de miroir.
• Si l'appliance virtuelle Covalence a été configurée sur un autre VPC, une relation de peering VPC doit être configurée entre les deux VPC. Pour en savoir plus, consultez les articles d'Amazon Qu'est-ce que le peering VPC et Créer une connexion de peering VPC.
• Veuillez utiliser VNI 1 comme valeur de l'identifiant réseau VXLAN pour la session. L'appliance Covalence sera configurée par défaut pour capturer à partir de l'ID VXLAN 1.