SEC05-BP01 Buat lapisan jaringan - Kerangka Kerja AWS Well-Architected
Panduan implementasiSumber daya

SEC05-BP01 Buat lapisan jaringan

Segmentasikan topologi jaringan Anda ke dalam lapisan yang berbeda-beda berdasarkan pengelompokan logis komponen beban kerja Anda sesuai dengan sensitivitas data dan persyaratan aksesnya. Bedakan antara komponen yang memerlukan akses masuk dari internet, seperti titik akhir web publik, dan komponen yang hanya membutuhkan akses internal, seperti basis data.

Hasil yang diinginkan: Lapisan jaringan Anda adalah bagian dari pendekatan pertahanan mendalam dan merupakan bagian integral bagi keamanan yang melengkapi autentikasi identitas dan strategi otorisasi beban kerja Anda. Lapisan-lapisan diterapkan berdasarkan sensitivitas data dan persyaratan akses, dengan arus lalu lintas dan mekanisme kontrol yang sesuai.

Anti-pola umum:

  • Anda membuat semua sumber daya dalam satu VPC atau subnet.

  • Anda menyusun konsep lapisan-lapisan jaringan tanpa mempertimbangkan persyaratan sensitivitas data, perilaku komponen, atau fungsionalitas.

  • Anda menggunakan VPC dan subnet sebagai default untuk semua pertimbangan lapisan jaringan, dan Anda tidak mempertimbangkan pengaruh yang diberikan oleh layanan-layanan terkelola AWS terhadap topologi Anda.

Manfaat menerapkan praktik terbaik ini: Membangun lapisan jaringan adalah langkah pertama dalam membatasi jalur-jalur yang tidak perlu melalui jaringan, terutama jalur-jalur yang mengarah pada sistem dan data kritis. Hal ini akan mempersulit pelaku yang tidak sah untuk mendapatkan akses ke jaringan Anda dan menavigasi ke sumber daya tambahan di dalamnya. Lapisan-lapisan jaringan terpisah (discrete) bermanfaat dalam mengurangi cakupan analisis untuk sistem inspeksi, seperti untuk deteksi intrusi atau pencegahan malware. Hal ini dapat mengurangi potensi positif palsu dan overhead pemrosesan yang tidak perlu.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Tinggi

Panduan implementasi

Saat merancang arsitektur beban kerja, biasanya berbagai komponen dipisahkan menjadi lapisan yang berbeda-beda berdasarkan tanggung jawabnya. Misalnya, sebuah aplikasi web dapat memiliki lapisan presentasi, lapisan aplikasi, dan lapisan data. Anda dapat mengambil pendekatan yang serupa saat merancang desain topologi jaringan Anda. Kontrol jaringan yang mendasarinya dapat membantu Anda memberlakukan persyaratan akses data pada beban kerja Anda. Misalnya, dalam arsitektur aplikasi web tiga tingkat, Anda dapat menyimpan file lapisan presentasi statis di Amazon S3 dan menyajikannya dari jaringan pengiriman konten (CDN), seperti Amazon CloudFront. Lapisan aplikasi dapat memiliki titik akhir publik yang dilayani Penyeimbang Beban Aplikasi (ALB) di subnet publik Amazon VPC (serupa dengan zona demiliterisasi, atau DMZ), dengan layanan back-end yang di-deploy ke subnet privat. Lapisan data tersebut, yang merupakan sumber daya hosting seperti basis data dan sistem file bersama, dapat berada di subnet privat yang berbeda dari sumber daya lapisan aplikasi Anda. Pada setiap batas lapisan ini (CDN, subnet publik, subnet privat), Anda dapat menerapkan kontrol yang hanya mengizinkan lalu lintas sah yang dapat melintasi batas tersebut.

Serupa dengan pemodelan lapisan jaringan berdasarkan tujuan fungsional komponen beban kerja Anda, pertimbangkan juga sensitivitas data yang diproses. Menggunakan contoh aplikasi web tersebut, meskipun semua layanan beban kerja Anda mungkin berada dalam lapisan aplikasi, layanan yang berbeda dapat memproses data dengan tingkat sensitivitas yang berbeda. Dalam kasus ini, membagi lapisan aplikasi denan menggunakan beberapa subnet privat, VPC yang berbeda di Akun AWS yang sama, atau bahkan VPC yang berbeda di Akun AWS yang berbeda untuk setiap tingkat sensitivitas data, mungkin sesuai untuk dilakukan, berdasarkan persyaratan kontrol Anda.

Pertimbangan lebih lanjut yang harus dilakukan untuk lapisan jaringan adalah konsistensi perilaku dari komponen-komponen yang dimiliki oleh beban kerja Anda. Melanjutkan dengan contoh ini, di lapisan aplikasi, Anda mungkin memiliki layanan yang menerima input dari pengguna akhir atau integrasi sistem eksternal yang secara inheren lebih berisiko daripada input ke layanan lain. Contohnya termasuk unggahan file, skrip kode yang dijalankan, pemindaian email, dan sebagainya. Dengan menempatkan layanan-layanan tersebut di lapisan jaringannya sendiri, akan terbentuk batas isolasi yang lebih kuat di sekitarnya, dan perilaku uniknya dapat dicegah agar tidak menghasilkan peringatan positif palsu dalam sistem inspeksi.

Sebagai bagian dari desain Anda, pertimbangkan juga pengaruh yang diberikan oleh penggunaan layanan terkelola AWS terhadap topologi jaringan Anda. Jelajahi bagaimana layanan seperti Amazon VPC Lattice dapat membantu Anda dalam mempermudah interoperabilitas komponen beban kerja Anda di seluruh lapisan jaringan. Saat menggunakan AWS Lambda, lakukan deployment di subnet VPC Anda kecuali ada alasan khusus untuk tidak melakukannya. Tentukan di mana titik akhir VPC dan AWS PrivateLink dapat menyederhanakan kepatuhan terhadap kebijakan keamanan yang membatasi akses ke gateway internet.

Langkah-langkah implementasi

  1. Tinjau arsitektur beban kerja Anda. Kelompokkan komponen dan layanan secara logis berdasarkan fungsi yang dijalankan, sensitivitas data yang diproses, dan perilakunya.

  2. Untuk komponen-komponen yang merespons permintaan dari internet, pertimbangkan untuk menggunakan penyeimbang beban atau perantara lainnya guna menyediakan titik akhir publik. Jelajahi pengalihan kontrol keamanan dengan menggunakan layanan terkelola, seperti CloudFront, Amazon API Gateway, Penyeimbangan Beban Elastis, dan AWS Amplify untuk meng-host titik akhir publik.

  3. Untuk komponen yang berjalan di lingkungan komputasi, seperti instans Amazon EC2, kontainer AWS Fargate, atau fungsi Lambda, lakukan deployment terhadap semuanya ke subnet pribadi berdasarkan grup Anda dari langkah pertama.

  4. Untuk layanan-layanan AWS yang terkelola sepenuhnya, seperti Amazon DynamoDB, Amazon Kinesis, atau Amazon SQS, pertimbangkan untuk menggunakan titik akhir VPC sebagai default untuk akses melalui alamat IP privat.

Sumber daya

Praktik-praktik terbaik terkait:

Video terkait:

Contoh terkait: