SEC05-BP02 Mengontrol lalu lintas di semua lapisan - AWS Well-Architected Framework
Panduan implementasiSumber daya

SEC05-BP02 Mengontrol lalu lintas di semua lapisan

 Ketika merancang topologi jaringan, Anda harus memeriksa persyaratan konektivitas setiap komponen. Misalnya, periksa apakah komponen memerlukan aksesibilitas internet (masuk dan keluar), konektivitas ke VPC, layanan edge, dan pusat data eksternal.

Dengan VPC, Anda dapat menentukan topologi jaringan yang menjangkau Wilayah AWS dengan rentang alamat IPv4 privat yang Anda atur, atau rentang alamat IPv6 yang dipilih oleh AWS. Anda harus menerapkan beberapa kontrol dengan pendekatan pertahanan mendalam untuk lalu lintas masuk dan keluar, termasuk penggunaan grup keamanan (firewall inspeksi stateful), ACL Jaringan, subnet, dan tabel rute. Di dalam VPC, Anda dapat membuat subnet di Zona Ketersediaan. Masing-masing subnet dapat memiliki tabel rute terkait yang menentukan aturan perutean untuk mengelola jalur yang digunakan lalu lintas dalam subnet. Anda dapat menentukan subnet yang dapat dirutekan internet dengan rute yang mengarah ke gateway NAT atau internet yang terikat ke VPC, atau melalui VPC lainnya.

Saat diluncurkan di dalam VPC, instans, basis data Amazon Relational Database Service(Amazon RDS), atau layanan lainnya akan memiliki grup keamanannya sendiri per antarmuka jaringan. Firewall ini berada di luar lapisan sistem operasi dan dapat digunakan untuk menentukan aturan bagi lalu lintas masuk dan keluar yang diizinkan. Anda juga dapat menentukan hubungan antargrup keamanan. Misalnya, instans dalam grup keamanan tingkat basis data hanya menerima lalu lintas dari instans dalam tingkat aplikasi, dengan merujuk ke grup keamanan yang diterapkan ke instans yang terlibat. Namun jika Anda menggunakan protokol non-TCP, Anda tidak perlu memiliki instans Amazon Elastic Compute Cloud(Amazon EC2) yang dapat diakses langsung dengan internet (bahkan dengan port yang dibatasi oleh grup keamanan) tanpa penyeimbang beban, atau CloudFront. Hal ini akan membantu melindunginya dari akses yang tidak diharapkan melalui sistem operasi atau masalah aplikasi. Subnet juga dapat memiliki ACL jaringan yang terikat dengannya, yang berperan sebagai firewall stateless. Anda harus mengonfigurasi jaringan ACL untuk mempersempit cakupan lalu lintas yang diizinkan antarlapisan, Anda juga harus menentukan aturan masuk dan keluar.

Beberapa layanan AWS memerlukan komponen untuk mengakses internet guna membuat panggilan API, tempat titik akhir API AWS berada. Layanan AWS lain menggunakan titik akhir VPC di dalam Amazon VPC Anda. Banyak layanan AWS, termasuk Amazon S3 dan Amazon DynamoDB, yang mendukung titik akhir VPC. Selain itu, teknologi ini telah digeneralisasi dalam AWS PrivateLink. Sebaiknya gunakan pendekatan ini untuk mengakses layanan AWS, layanan pihak ketiga, dan layanan milik Anda yang di-host di VPC lain secara aman. Semua lalu lintas jaringan di AWS PrivateLink tetap dalam jalur utama AWS global dan tidak akan melintasi internet. Konektivitas hanya dapat diinisiasi oleh konsumen layanan, bukan oleh penyedia layanan. Dengan AWS PrivateLink untuk akses layanan eksternal, Anda dapat menciptakan VPC terisolasi tanpa akses internet dan membantu melindungi VPC Anda dari vektor ancaman eksternal. Layanan pihak ketiga dapat menggunakan AWS PrivateLink agar konsumen dapat terhubung ke layanan dari VPC mereka melalui alamat IP privat. Untuk aset VPC yang perlu membuat koneksi keluar ke internet, ini dapat ditetapkan khusus keluar (satu jalur) melalui gateway NAT yang dikelola AWS, gateway internet khusus keluar, atau proksi web yang Anda buat dan kelola.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Tinggi

Panduan implementasi

Sumber daya

Dokumen terkait:

Video terkait:

Contoh terkait: