[新产品/新功能] 推出 AWS Cloud WAN 的安全组引用和增强 DNS 支持

[新产品/新功能] 推出 AWS Cloud WAN 的安全组引用和增强 DNS 支持   # 产品功能分析 ## 新功能/新产品概述 AWS Cloud WAN 的新功能包括 **安全组引用** 和 **增强 DNS 支持**，核心定义是为连接到同一 **AWS Region** 的 **Amazon VPC** 提供动态安全配置和 DNS 解析能力。技术原理基于 Cloud WAN 的核心网络策略（Core Network Policy），通过启用 `"security-group-referencing-support": true` 和 `"dns-support": true` 语句，实现安全组规则引用其他 VPC 的安全组 ID，而非硬编码 IP 地址范围；DNS 支持则允许跨 VPC 解析 **Amazon EC2** 主机名至私有 IP 地址。该功能如何工作：用户在 Cloud WAN 核心网络和 VPC 附加级别启用后，可在安全组入站规则中引用其他 VPC 的安全组，实现流量控制。产品背景源于企业对全球网络管理的简化需求，特别是在多 VPC 环境中处理路由、安全和连接性。目标用户群为大型企业和多云架构组织，如金融科技公司，市场定位是作为 **AWS Transit Gateway** 的升级替代，提供更集中的政策自动化，适用于规模化网络场景，帮助迁移和优化现有架构。 ## 关键客户价值 - **简化安全规则管理**：业务价值在于减少手动配置 IP 范围，提高操作效率。例如，在多 VPC 环境中，引用安全组可避免静态 IP 变更导致的规则冲突，与 **AWS Transit Gateway** 的差异化优势在于 Cloud WAN 的政策自动化系统，提供更统一的可见性和管理，而非仅限独立网关；实现机制通过核心网络策略动态应用，体现于突发流量场景中，减少维护工作量。 - **提升安全性与可扩展性**：业务价值是实现细粒度访问控制，同时维护网络分段。例如，允许特定 VPC 间的应用层通信（如 SSH 访问），而不暴露 IP 细节；与竞品的差异化优势是 Cloud WAN 强调全局网络视角，Transit Gateway 更侧重单一网关，而 Cloud WAN 的优势通过双层启用机制（核心网络和 VPC 附加）实现；在隔离环境如共享服务访问中，体现为降低安全风险，支持跨账户访问。 - **优化网络性能**：业务价值包括减少错误配置带来的停机时间，例如 DNS 支持确保跨 VPC 的主机名解析，提高应用响应速度；与竞品的差异化优势在于 Cloud WAN 集成更强的自动化（如自动扩缩容结合），Transit Gateway 需额外工具，而 Cloud WAN 的实现机制基于事件驱动策略，适用于高并发场景，如电商峰值期流量管理。 ## 关键技术洞察 - **技术独特性**：_基于 Cloud WAN 核心网络策略_，实现安全组引用，支持动态引用其他 VPC 的安全组，而非静态 IP。工作原理涉及在核心网络边缘 (CNE) 启用后，安全组规则通过 AWS API 解析引用 ID，并应用到流量路径，确保仅限同一 Region 内生效。 - **技术创新点及其影响**：创新点在于引入政策自动化减少手动干预，提升安全性（如避免 IP 泄露）和可用性（如毫秒级响应），对性能影响显著，例如降低网络延迟并提高吞吐量；但也提升了资源利用率，在高并发场景中避免不必要流量。同时，创新点促进了 **零信任架构** 的采用。 - **技术实现的挑战和解决方式**：挑战包括双层配置要求（核心网络和 VPC 附加），可能增加初始设置复杂性；解决方式是通过 **AWS Management Console** 或 **AWS CLI** 提供可视化界面和默认启用选项，确保路由正确配置；此外，限制如不支持跨 Region 引用，避免了潜在的安全漏洞，但需用户定期检查陈旧引用以维护性能。   # 引入安全组引用和增强型 DNS 支持的 AWS Cloud WAN **原始链接:** [https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-security-group-referencing-and-enhanced-dns-support-for-aws-cloud-wan/](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-security-group-referencing-and-enhanced-dns-support-for-aws-cloud-wan/) **发布时间:** 2025-06-23 **厂商:** AWS **类型:** BLOG --- 在本文中，我们将介绍 [最近推出的](https://aws.amazon.com/about-aws/whats-new/2025/06/aws-cloud-wan-network-operations-security-referencing-dns/) 安全组引用 (security group referencing) 和增强型 DNS 支持功能，这些功能应用于 [AWS Cloud WAN](https://aws.amazon.com/cloud-wan/)。这项新功能允许您在同一 [AWS 区域 (AWS Region)](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/) 内且连接到同一 AWS Cloud WAN 核心网络 (Core Network Edge, CNE) 的不同 [Amazon Virtual Private Cloud (Amazon VPC)](https://aws.amazon.com/vpc/) 中创建入站安全规则，以引用其他 Amazon VPC 中定义的安全组。 AWS Cloud WAN 旨在简化全球网络管理。它允许您构建、管理和监控一个统一的网络，该网络使用基于策略的自动化系统连接多个 Amazon VPC 和本地环境。AWS Cloud WAN 使您能够创建一个跨越 AWS 区域的全球网络，并简化路由、安全和连接配置。新的安全组引用功能 (security group referencing capability) [https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-vpc-attachment.html] 允许进行动态且可扩展的网络安全配置。在连接到 AWS Cloud WAN 核心网络的 Amazon VPC 中定义安全组入站规则时，您可以引用同一区域内连接到同一核心网络的其他 Amazon VPC 中定义的安全组，而不是硬编码 IPv4 和 IPv6 地址范围。这便于规则管理和支持跨多个 Amazon VPC 扩展的架构，同时不牺牲安全。该功能适用于按功能或应用分段的资源环境，但仍需要跨边界控制访问。它增强了您定义细粒度网络访问控制的能力，同时保持集中式可见性和管理。我们推出的另一新功能是 AWS Cloud WAN 的 DNS 支持，它使查询跨连接到同一核心网络的 Amazon VPC 时，能够将公共 DNS [Amazon Elastic Compute Cloud (Amazon EC2)](https://aws.amazon.com/ec2/) 主机名解析为私有 IP 地址，前提是这些 Amazon VPC 位于同一区域。 ## 如何使用安全组引用与 AWS Cloud WAN 要使安全组引用 (security group referencing) 正常工作，该功能必须在 AWS Cloud WAN 核心网络和 Amazon VPC 连接 (VPC attachment) 级别启用。这一双步配置过程确保您对安全组引用的应用位置和方式进行细粒度控制。您可以在创建新的 AWS Cloud WAN 核心网络时启用 **安全组引用支持 (security group referencing support)** 选项，或通过编辑现有核心网络启用。同样，您可以在创建核心网络 Amazon VPC 连接时或稍后通过编辑 Amazon VPC 连接启用 **安全组引用支持** 选项。这些操作可以通过 [AWS Management Console](https://aws.amazon.com/console/)、[AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) 或 [AWS SDK](https://aws.amazon.com/developer/tools/) 完成。**安全组引用支持** 选项在创建新 AWS Cloud WAN Amazon VPC 连接时默认启用。要在核心网络级别启用此功能，您必须在核心网络策略中添加一个新语句，如下一节所示。这样做时，配置将应用于该核心网络的所有 CNE（从而应用于该核心网络配置的所有 AWS 区域）。 ### 控制台和 CLI 示例在本节中，您将执行必要的操作来启用安全组跨引用。考虑图 1 中所示的场景。在该场景中，您需要启用 `Shared Services` Amazon VPC 中的多个 SSH 客户端 SSH 连接到 `Prod` Amazon VPC 中的 EC2 实例。您必须以安全方式实现此操作，而不显式引用与 `Shared Services` Amazon VPC 子网相关的任何 CIDR 范围。同时，假设所有路由已正确配置，以启用 `Shared Services` 和 `Prod` Amazon VPC 之间的连接。 ![图 1. 场景](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/06/23/sg-xreferencing-cwan-2.png) 图 1. 跨 Shared Services 和 Prod Amazon VPC 的安全组引用场景。 #### 1\. 通过核心网络策略在核心网络级别启用安全组引用支持和增强型 DNS 支持您首先通过向核心网络的现有网络策略添加 `"security-group-referencing-support": true` 语句并应用新版本的网络策略来修改它。可选地，您可以通过添加 `"dns-support": true` 语句启用跨 Amazon VPC 连接的 EC2 DNS 主机名解析，如以下 JSON 代码片段所示。 { "version": "2021.12", "core-network-configuration": { "vpn-ecmp-support": false, "dns-support": true, //新功能 "security-group-referencing-support": true, //新功能 "asn-ranges": [ "64512-65534" ], "edge-locations": [ { "location": "eu-west-1" }, { "location": "us-west-1" } ] }, [... OMITTED ...] 如果您更喜欢视觉化方法，则可以通过控制台编辑核心网络策略并启用 **安全组引用支持**，如图 2 所示。 ![图 2. 通过控制台在核心网络级别启用安全组引用支持选项](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/06/19/screen_0.jpg) 图 2. 通过控制台在核心网络级别启用安全组引用支持选项 #### 2\. 在添加 Amazon VPC 连接到核心网络时通过 AWS CLI 启用安全组引用支持和增强型 DNS 支持现在，您将为 `Shared Services` Amazon VPC 创建一个新的核心网络 Amazon VPC 连接。为此，创建一个名为 `attachment.json` 的 JSON 文件，其中包含用于创建 `Shared Services` Amazon VPC 连接的 CLI 命令参数。以下示例中的资源 ID 需要替换为您的 AWS 账户中的资源 ID。**安全组引用支持** 选项在创建新连接时默认启用。 { "CoreNetworkId": "core-network-0000000000000", "VpcArn": "arn:aws:ec2:eu-west-1:123456789012:vpc/vpc-0000000000000", // shared-services Amazon VPC "SubnetArns": [ "arn:aws:ec2:eu-west-1:123456789012:subnet/subnet-0000000000000", "arn:aws:ec2:eu-west-1:123456789012:subnet/subnet-0000000000001", "arn:aws:ec2:eu-west-1:123456789012:subnet/subnet-0000000000002" ], "Options": { "ApplianceModeSupport": false, "Ipv6Support": true, "SecurityGroupReferencingSupport": true //新功能，默认值为 "true" "DnsSupport": true //新功能 } } 然后，通过发出以下 `create-vpc-attachment` CLI 命令创建连接： `aws networkmanager create-vpc-attachment --cli-input-json file://attachment.json` #### 3\. 通过控制台在修改现有 Amazon VPC 连接时启用安全组引用支持您可以通过控制台修改现有 `Prod` Amazon VPC 连接来启用 **安全组引用支持** 选项，如图 3 所示。可选地，您也可以通过选择 **DNS 支持** 启用跨 Amazon VPC 连接的 EC2 DNS 主机名解析，如图 3 所示。 ![图 3: 通过控制台在 Amazon VPC 连接级别启用安全组引用支持和 DNS 支持选项](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/06/19/screen_1.jpg) 图 3: 通过控制台在 Amazon VPC 连接级别启用安全组引用支持和 DNS 支持选项 #### 4\. 在另一个 Amazon VPC 中的安全组规则中引用一个 Amazon VPC 的安全组在本节中，您将学习如何使用 **安全组引用支持** 选项，通过在同一 AWS 区域内连接到同一核心网络的两个 Amazon VPC 之间跨引用安全组。首先，您必须记录 `Shared Services` Amazon VPC 中 SSH 客户端实例关联的安全组 ID。在图 4 中所示的示例中，安全组 ID 为 `sg-01754360f80836e07`。 ![图 4: Shared Services Amazon VPC 中 SSH 客户端实例的安全组 ID](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/06/19/screen_2.jpg) 图 4: Shared Services Amazon VPC 中 SSH 客户端实例的安全组 ID 然后，向与 `Prod` 实例关联的安全组 (`sg-04462481c115ab4aa`) 添加一个新入站规则，该规则引用 SSH 客户端实例的安全组，以允许来自该安全组的 SSH 连接，如图 5 所示。 ![图 5: 向 Prod Amazon VPC 安全组添加入站规则，引用 SSH 客户端实例的安全组](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/06/19/screen_3.jpg) 图 5: 向 Prod Amazon VPC 安全组添加入站规则，引用 SSH 客户端实例的安全组添加新入站规则后，您可以成功从 `Shared Services` Amazon VPC 实例 SSH 连接到 `Prod` Amazon VPC 实例。 [ec2-user@ip-172-16-0-10 ~]$ ssh ec2-user@10.1.0.10 , #_ ~\_ ####_ Amazon Linux 2023 ~~ \_#####\ ~~ \###| ~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023 ~~ V~' '-> ~~~ / ~~._. _/ _/ _/ _/m/' [ec2-user@ip-10-1-0-10 ~]$ ## 安全组引用与 AWS Cloud WAN 的用例这项新功能的一些用例与 [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/) 的安全组引用相同，这些用例已在博文 [Introducing security group referencing for AWS Transit Gateway](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-security-group-referencing-for-aws-transit-gateway/) 中介绍。为方便起见，这里列出： * 安全连接跨多个 Amazon VPC 的应用层。例如，允许一个 Amazon VPC 中的 Web 服务器与另一个 Amazon VPC 中的数据库服务器通信，而不暴露特定 IP 地址。 * 为隔离环境提供对共享服务的选择性访问，例如 Active Directory。这使通信保持集中，同时维护网络分段和安全边界。 * 在共享 Amazon VPC 模型中启用跨账户访问控制。组织可以在其 AWS Cloud WAN 基础设施中为多个 AWS 账户访问的资源实施细粒度权限。 ## 注意事项 * 确保功能在核心网络和连接级别均启用。这一双层配置要求提供对安全组引用部署的细粒度控制。 * 在引用安全组的 Amazon VPC 之间，确保已配置适当的路由，以便所有源和目标 IP 流量之间实现完全可达性。 * 在分离或删除 Amazon VPC 或安全组时，使用 `describe-stale-security-groups` 审查和清理过时引用。定期检查可防止安全规则冲突并确保最佳性能。 * 此功能当前仅支持同一区域内单个核心网络的引用。跨区域安全组引用不受支持。 * 安全组仅可在安全组入站规则中被引用。 * 当流量通过原生 [AWS Network Firewall](https://aws.amazon.com/network-firewall/) 或第三方网络设备检查时，安全组引用不起作用。 ## 结论在本文中，我们展示了如何在 AWS Cloud WAN 跨启用和禁用安全组引用，以及该功能在某些用例中的益处。在 AWS Cloud WAN 中引入安全组引用支持允许用户通过引用连接到同一 CNE 的 Amazon VPC 中的安全组来简化安全规则管理，而不是依赖静态 IP 地址或范围。这使 AWS Cloud WAN 的功能与 AWS Transit Gateway 中已有的功能保持一致，满足关键用户需求——尤其是从 AWS Transit Gateway 迁移到 AWS Cloud WAN 的企业。虽然此功能限于同一 AWS 区域 (CNE)，但它显著降低了操作复杂性，并促进了集中式、动态安全策略执行。此增强支持用户使用 AWS Cloud WAN 构建更安全的多 Amazon VPC 架构。此功能可在所有提供 AWS Cloud WAN 的 AWS 区域中使用。要了解更多关于 AWS Cloud WAN 的信息，请参考 [AWS Cloud WAN 文档](https://docs.aws.amazon.com/network-manager/latest/cloudwan/what-is-cloudwan.html)。感谢阅读本文。如果您对本文有疑问，请在 [AWS re:Post](https://repost.aws/) 上启动新线程或联系 [AWS Support](https://aws.amazon.com/contact-us/)。 ## 作者介绍 ![Fiona Armada](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/06/19/farmada-150x150.png) ### Fiona Armada Fiona Armada 是 AWS 的首席解决方案架构师，专注于云网络。她多年来与 EMEA 地区的众多企业客户密切合作，帮助他们设计和实施安全、可扩展且经济高效的网络架构。Fiona 持有多个认证，包括 AWS 网络专家和 Cisco CCIE 数据中心，她经常通过白皮书和在活动（如 AWS re:Invent 和 AWS Summit）中的演讲分享知识。她喜欢与技术团队和领导层合作，解决复杂挑战并支持客户云之旅。 ![Nicola Arnoldi](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2020/06/23/headshot-square-alt-scaled-1-150x150.jpg) ### Nicola Arnoldi Nicola 是与英国金融科技客户合作的首席解决方案架构师。他在加入 AWS 之前的一生职业生涯中，曾设计、构建和自动化全球一些最大电信公司的网络。在业余时间，他是一位狂热的业余音乐家和两个可爱女儿的自豪父亲。