About

Convert this to an architectural diagram like the attached sample ┌─────────────────────────────────────────┐ │ Internet │ └─────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────┐ │ Public Subnet (10.0.0.0/24) │ │ ─────────────────────────────────────── │ │ • Application Load Balancer (HTTPS) │ │ • Only HTTPS (443) allowed from │ │ 0.0.0.0/0 │ │ • No direct SSH/RDP in this tier │ └─────────────────────────────────────────┘ │ ▼ ┌────────────────────────────────────────────────────────────────────┐ │ Inspection / Security Subnet │ │ (10.0.1.0/24 – NGFW Tier) │ │ ───────────────────────────────────────────────────────────────── │ │ • Next-Gen Firewall (Layer 7 policy engine) │ │ • Enforces: │ │ – TLS termination inspection │ │ – Identity-aware routing (IAM + tags) │ │ – East-West segmentation │ │ – Threat detection + IDS/IPS │ │ • Forwards approved traffic only to Web Tier │ │ • Logging streamed to Central Logging Tier │ └────────────────────────────────────────────────────────────────────┘ │ ▼ ┌────────────────────────────────────────────────────────────────────┐ │ Web Tier Subnet (10.0.2.0/24) │ │ ───────────────────────────────────────────────────────────────── │ │ • WebServer1 (EC2) │ │ • WebServer2 (EC2) │ │ • SG-Web allows HTTPS *only from ALB* │ │ • Outbound allowed only to App Tier │ │ • No database or Internet access │ └────────────────────────────────────────────────────────────────────┘ │ ▼ ┌────────────────────────────────────────────────────────────────────┐ │ App Tier Subnet (10.0.3.0/24) │ │ ───────────────────────────────────────────────────────────────── │ │ • AppServer1 (EC2) │ │ • AppServer2 (EC2) │ │ • SG-App allows traffic *only from SG-Web* │ │ • Outbound allowed only to DB Tier │ │ • No inbound from Internet, no cross-tier lateral movement │ └────────────────────────────────────────────────────────────────────┘ │ ▼ ┌────────────────────────────────────────────────────────────────────┐ │ Database Tier (10.0.4.0/24) │ │ ───────────────────────────────────────────────────────────────── │ │ • Managed DB instance (RDS) │ │ • SG-DB allows SQL only from SG-App │ │ • No direct EC2-to-Internet route │ │ • Encrypted at rest + in transit │ │ • NACL denies all inbound except App Tier │ └────────────────────────────────────────────────────────────────────┘ │ ▼ ┌────────────────────────────────────────────────────────────────────┐ │ Central Logging & Monitoring Tier │ │ (10.0.5.0/24 – Private) │ │ ───────────────────────────────────────────────────────────────── │ │ • Central Logging Server / SIEM collector │ │ • Receives logs from: │ │ – NGFW │ │ – Web Tier │ │ – App Tier │ │ – OS/Network telemetry │ │ • No inbound from Internet │ │ • Only SG-Log receives traffic from trusted tier SGs │ └────────────────────────────────────────────────────────────────────┘ │ ▼ ┌────────────────────────────────────────────────────────────────────┐ │ Admin & Ops Tier (10.0.6.0/24) │ │ ───────────────────────────────────────────────────────────────── │ │ • Admin Workstations (restricted EC2) │ │ • Access via: │ │ – AWS IAM Identity Center (SSO) │ │ – AWS Systems Manager Session Manager (no SSH/RDP needed) │ │ • No open inbound ports (fully closed externally) │ │ • Allowed to reach tiers only with IAM-based approvals │ └────────────────────────────────────────────────────────────────────┘