Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Keamanan infrastruktur di Amazon VPC
Sebagai layanan terkelola, Amazon Virtual Private Cloud dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat Keamanan AWS Cloud
Anda menggunakan API panggilan yang AWS dipublikasikan untuk mengakses Amazon VPC melalui jaringan. Klien harus mendukung hal-hal berikut:
-
Keamanan Lapisan Pengangkutan (TLS). Kami membutuhkan TLS 1.2 dan merekomendasikan TLS 1.3.
-
Suite cipher dengan Perfect Forward Secrecy (PFS) seperti (Ephemeral Diffie-Hellman) atau DHE (Elliptic Curve Ephemeral Diffie-Hellman). ECDHE Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.
Selain itu, permintaan harus ditandatangani menggunakan access key ID dan secret access key yang terkait dengan IAM prinsipal. Atau Anda dapat menggunakan AWS Security Token Service (AWS STS) untuk membuat kredensial keamanan sementara untuk menandatangani permintaan.
Isolasi jaringan
Virtual Private Cloud (VPC) adalah jaringan virtual di area Anda yang diisolasi secara logis dalam AWS Cloud. Gunakan secara terpisah VPCs untuk mengisolasi infrastruktur berdasarkan beban kerja atau entitas organisasi.
Subnet adalah serangkaian alamat IP di. VPC Saat Anda meluncurkan sebuah instans, Anda akan menjalankannya di subnet di. VPC Gunakan subnet untuk mengisolasi tingkatan aplikasi Anda (misalnya, web, aplikasi, dan database) dalam satu. VPC Gunakan subnet privat untuk instans Anda jika instan tersebut tidak dapat diakses secara langsung dari internet.
Anda dapat menggunakan AWS PrivateLinkuntuk mengaktifkan sumber daya di Anda VPC untuk terhubung Layanan AWS menggunakan alamat IP pribadi, seolah-olah layanan tersebut di-host langsung di AndaVPC. Oleh karena itu, Anda tidak perlu menggunakan gateway atau NAT perangkat internet untuk mengakses Layanan AWS.
Mengendalikan lalu lintas jaringan
Pertimbangkan opsi berikut untuk mengontrol lalu lintas jaringan ke sumber daya di AndaVPC, seperti EC2 contoh:
Gunakan grup keamanan sebagai mekanisme utama untuk mengendalikan akses jaringan AndaVPCs. Jika perlu, gunakan jaringan ACLs untuk menyediakan kontrol jaringan stateless dan secara garis besar. Grup keamanan bersifat lebih fleksibel dari jaringanACLs, karena kemampuannya untuk melakukan pemfilteran paket tetap dan menciptakan aturan yang mengacu pada grup keamanan lainnya. Jaringan ACLs dapat efektif sebagai kontrol sekunder (misalnya, untuk menolak subset lalu lintas tertentu) atau sebagai pagar pengaman subnet tingkat tinggi. Juga, karena jaringan ACLs berlaku untuk seluruh subnet, jaringan ini dapat digunakan seperti defense-in-depth jika sebuah instans diluncurkan tanpa grup keamanan yang tepat.
Gunakan subnet privat untuk instans Anda jika instan tersebut tidak dapat diakses secara langsung dari internet. Gunakan host atau NAT gateway bastion untuk akses internet dari instans dalam subnet privat.
Konfigurasikan tabel rute subnet dengan rute jaringan minimum untuk mendukung persyaratan konektivitas Anda.
Pertimbangkan untuk menggunakan grup keamanan tambahan atau antarmuka jaringan untuk mengontrol dan mengaudit lalu lintas pengelolaan EC2 instans Amazon secara terpisah dari lalu lintas aplikasi reguler. Oleh karena itu, Anda dapat menerapkan IAM kebijakan khusus untuk kontrol perubahan, mempermudahnya untuk mengaudit perubahan pada aturan grup keamanan atau skrip verifikasi aturan otomatis. Sejumlah antarmuka jaringan juga menyediakan opsi tambahan untuk mengontrol lalu lintas jaringan, termasuk kemampuan untuk menciptakan kebijakan perutean berbasis host atau memanfaatkan berbagai aturan perutean VPC subnet berdasarkan antarmuka jaringan yang ditetapkan untuk subnet.
-
Gunakan AWS Virtual Private Network atau AWS Direct Connect untuk membuat koneksi pribadi dari jaringan jarak jauh Anda ke jaringan AndaVPCs. Untuk informasi selengkapnya, lihat opsi Network-to-Amazon VPC konektivitas.
-
Gunakan Log VPC Aliran untuk memonitor lalu lintas yang mencapai instans Anda.
-
Gunakan AWS Security Hub
untuk memeriksa aksesibilitas jaringan yang tidak disengaja pada instans Anda. -
Gunakan AWS Network Firewalluntuk melindungi subnet di Anda VPC dari ancaman jaringan umum.
Membandingkan grup keamanan dan jaringan ACLs
Tabel berikut merangkum dasar perbedaan antara grup keamanan dan jaringanACLs.
| Grup keamanan | Jaringan ACL |
|---|---|
| Beroperasi pada tingkat instans | Beroperasi pada tingkat subnet |
| Berlaku untuk sebuah instance hanya jika dikaitkan dengan instance | Berlaku untuk semua instans yang di-deploy di subnet terkait (menyediakan lapisan pertahanan tambahan jika aturan grup keamanan terlalu longgar) |
| Mendukung hanya mengizinkan aturan | Mendukung mengizinkan aturan dan menolak aturan |
| Mengevaluasi semua aturan sebelum memutuskan apakah akan mengizinkan lalu lintas | Mengevaluasi aturan secara berurutan, dimulai dengan aturan bernomor terendah, ketika memutuskan apakah akan mengizinkan lalu lintas |
| Stateful: Lalu lintas kembali diperbolehkan, terlepas dari aturan | Stateless: Lalu lintas kembali harus secara eksplisit diizinkan oleh aturan |
Diagram berikut menggambarkan lapisan keamanan yang disediakan oleh grup keamanan dan jaringanACLs. Sebagai contoh, lalu lintas dari gateway internet dirutekan ke subnet yang sesuai menggunakan rute dalam tabel perutean. Aturan jaringan ACL yang terkait dengan kontrol subnet yang lalu lintas diperbolehkan untuk subnet. Aturan grup keamanan yang terkait dengan kontrol instans yang lalu lintasnya diizinkan untuk instans tersebut.
Anda dapat mengamankan instans Anda hanya menggunakan grup keamanan. Namun, Anda dapat menambahkan jaringan ACLs sebagai lapisan pertahanan tambahan. Untuk informasi selengkapnya, lihat Contoh: Kontrol akses ke instans dalam subnet.
