SEC05-BP01 Ciptakan lapisan jaringan

Kelompokkan komponen yang memiliki persyaratan keterjangkauan yang sama ke dalam sejumlah lapisan. Misalnya, sebuah klaster basis data di cloud privat virtual (VPC) yang tidak memerlukan akses internet harus ditempatkan dalam subnet yang tidak memiliki rute ke atau dari internet. Di beban kerja nirserver yang beroperasi tanpa VPC, pelapisan yang serupa dan segmentasi dengan layanan mikro dapat mencapai tujuan yang sama.

Komponen seperti instans Amazon Elastic Compute Cloud (Amazon EC2), klaster basis data Amazon Relational Database Service (Amazon RDS), dan fungsi AWS Lambda yang memiliki persyaratan keterjangkauan yang sama dapat disegmentasikan menjadi lapisan yang dibentuk oleh subnet. Misalnya, sebuah klaster basis data Amazon RDS di VPC yang tidak memerlukan akses internet harus ditempatkan dalam subnet yang tidak memiliki rute ke atau dari internet. Pendekatan berlapis untuk kontrol ini memitigasi dampak salah konfigurasi satu lapisan, yang dapat memberikan akses yang tidak dimaksudkan. Untuk Lambda, Anda dapat menjalankan fungsi Anda di VPC Anda untuk memanfaatkan kontrol berbasis VPC.

Untuk konektivitas jaringan yang dapat mencakup ribuan VPC, akun AWS, dan jaringan on-premise, Anda harus menggunakan AWS Transit Gateway. Ini berfungsi sebagai pusat yang mengontrol cara lalu lintas dirutekan di antara semua jaringan terhubung, yang berfungsi seperti jari-jari roda. Lalu lintas antara Amazon Virtual Private Cloud dan AWS Transit Gateway tetapi di jaringan privat AWS, yang mengurangi vektor ancaman eksternal seperti serangan penyangkalan layanan terdistribusi (DDoS) dan eksploitasi umum, seperti injeksi SQL, XSS, pemalsuan permintaan lintas situs, atau penyalahgunaan kode autentikasi rusak. Peering antar wilayah AWS Transit Gateway juga mengenkripsi lalu lintas antar wilayah tanpa SPOF atau hambatan bandwidth.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Tinggi

Panduan implementasi

Sumber daya

Dokumen terkait:

Video terkait:

Contoh terkait: