SEC05-BP02 Kontrol arus lalu lintas dalam lapisan jaringan Anda - AWS Kerangka Well-Architected
Panduan implementasiSumber daya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

SEC05-BP02 Kontrol arus lalu lintas dalam lapisan jaringan Anda

Dalam lapisan-lapisan jaringan Anda, gunakan segmentasi lebih lanjut untuk membatasi lalu lintas hanya ke arus yang diperlukan untuk masing-masing beban kerja. Pertama, fokus pada pengendalian lalu lintas antara internet atau sistem eksternal lainnya ke beban kerja dan lingkungan Anda (lalu lintas utara-selatan). Setelah itu, lihat arus yang terjadi antara komponen dan sistem yang berbeda (lalu lintas timur-barat).

Hasil yang diinginkan: Anda hanya mengizinkan arus jaringan yang diperlukan untuk komponen beban kerja Anda untuk melakukan komunikasi satu sama lain dan dan klien mereka dan layanan lain yang mereka andalkan. Desain Anda mempertimbangkan hal-hal seperti lalu lintas masuk dan keluar publik dibandingkan dengan privat, klasifikasi data, peraturan regional, dan persyaratan protokol. Jika memungkinkan, Anda lebih menyukai point-to-point aliran melalui pengintip jaringan sebagai bagian dari prinsip desain hak istimewa yang paling tidak.

Anti-pola umum:

  • Anda mengambil pendekatan berbasis perimeter untuk keamanan jaringan dan hanya mengontrol arus lalu lintas di batas lapisan-lapisan jaringan Anda.

  • Anda menganggap semua lalu lintas yang ada dalam sebuah lapisan jaringan sudah diautentikasi dan diotorisasi.

  • Anda dapat menerapkan kontrol untuk salah satu lalu lintas masuk atau lalu lintas keluar, tetapi tidak dapat menerapkan untuk keduanya.

  • Anda hanya mengandalkan komponen-komponen beban kerja dan kontrol jaringan untuk melakukan autentikasi dan meberikan otorisasi terhadap lalu lintas.

Manfaat menerapkan praktik terbaik ini: Praktik ini akan membantu Anda dalam mengurangi risiko pergerakan yang tidak sah dalam jaringan Anda dan menambahkan lapisan otorisasi tambahan ke beban kerja Anda. Dengan melakukan kontrol terhadap arus lalu lintas, Anda dapat membatasi cakupan dampak insiden keamanan serta mempercepat deteksi dan respons.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Tinggi

Panduan implementasi

Sementara lapisan jaringan membantu menetapkan batas-batas di sekitar komponen beban kerja Anda yang melayani fungsi, tingkat sensitivitas data, dan perilaku yang serupa, Anda dapat membuat tingkat kontrol lalu lintas yang jauh lebih halus dengan menggunakan teknik untuk mengelompokkan komponen lebih lanjut dalam lapisan-lapisan ini yang mengikuti prinsip hak istimewa paling sedikit. Di dalam AWS, lapisan jaringan terutama didefinisikan menggunakan subnet sesuai dengan rentang alamat IP dalam AmazonVPC. Lapisan juga dapat didefinisikan menggunakan yang berbedaVPCs, seperti untuk mengelompokkan lingkungan microservice berdasarkan domain bisnis. Saat menggunakan beberapaVPCs, mediasi perutean menggunakan file. AWS Transit Gateway Meskipun ini memberikan kontrol lalu lintas pada tingkat Layer 4 (alamat IP dan rentang port) menggunakan grup keamanan dan tabel rute, Anda dapat memperoleh kontrol lebih lanjut menggunakan layanan tambahan, seperti AWS PrivateLink, Amazon Route 53 Resolver DNS Firewall AWS Network Firewall, dan. AWS WAF

Memahami dan menginventarisasi aliran data dan persyaratan komunikasi beban kerja Anda dalam hal pihak yang memulai koneksi, port, protokol, dan lapisan jaringan. Evaluasi protokol yang tersedia untuk membangun koneksi dan mentransmisikan data ke protokol tertentu yang memenuhi persyaratan perlindungan Anda (misalnya, HTTPS bukan). HTTP Terapkan persyaratan-persyaratan ini di batas-batas jaringan Anda dan dalam masing-masing lapisan. Setelah persyaratan-persyaratan ini diidentifikasi, tinjau opsi-opsi untuk mengizinkan lalu lintas yang diperlukan saja yang dapat mengalir di setiap titik koneksi. Titik awal yang baik adalah menggunakan grup keamanan di dalam AndaVPC, karena mereka dapat dilampirkan ke sumber daya yang menggunakan Antarmuka Jaringan Elastis (ENI), EC2 instans Amazon, ECS tugas Amazon, EKS pod Amazon, atau RDS database Amazon. Tidak seperti firewall Lapisan 4, sebuah grup keamanan dapat memiliki aturan yang mengizinkan lalu lintas dari grup keamanan lain berdasarkan pengidentifikasinya, sehingga hal itu akan meminimalkan pembaruan seiring berubahnya sumber daya dalam grup dari waktu ke waktu. Anda juga dapat memfilter lalu lintas dengan aturan masuk dan keluar dengan menggunakan grup keamanan.

Ketika lalu lintas bergerak di antaraVPCs, itu umum untuk menggunakan VPC peering untuk routing sederhana atau AWS Transit Gateway untuk routing yang kompleks. Dengan pendekatan ini, Anda memfasilitasi arus lalu lintas yang terjadi antara rentang alamat IP jaringan sumber dan tujuan. Namun, jika beban kerja Anda hanya memerlukan arus lalu lintas antara komponen tertentu yang berbedaVPCs, pertimbangkan untuk menggunakan point-to-point AWS PrivateLinkkoneksi. Untuk melakukan hal ini, identifikasi layanan mana yang harus bertindak sebagai produsen dan layanan mana yang harus bertindak sebagai konsumen. Terapkan penyeimbang beban yang kompatibel untuk produsen, nyalakan PrivateLink sesuai, dan kemudian terima permintaan koneksi oleh konsumen. Layanan produsen kemudian diberi alamat IP pribadi dari konsumen VPC yang dapat digunakan konsumen untuk membuat permintaan berikutnya. Pendekatan ini mengurangi kebutuhan untuk melakukan peering jaringan. Sertakan biaya untuk pemrosesan data dan penyeimbangan beban sebagai bagian dari evaluasi PrivateLink.

Sementara kelompok keamanan dan PrivateLink membantu mengontrol aliran antara komponen beban kerja Anda, pertimbangan utama lainnya adalah bagaimana mengontrol DNS domain mana yang diizinkan untuk diakses oleh sumber daya Anda (jika ada). Bergantung pada DHCP konfigurasi AndaVPCs, Anda dapat mempertimbangkan dua AWS layanan berbeda untuk tujuan ini. Sebagian besar pelanggan menggunakan DNS layanan Route 53 Resolver default (juga disebut DNS server Amazon atau AmazonProvidedDNS) yang tersedia VPCs di alamat +2 dari jangkauannyaCIDR. Dengan pendekatan ini, Anda dapat membuat aturan DNS Firewall dan mengaitkannya dengan aturan Anda VPC yang menentukan tindakan apa yang harus diambil untuk daftar domain yang Anda berikan.

Jika Anda tidak menggunakan Route 53 Resolver, atau jika Anda ingin melengkapi Resolver dengan kemampuan inspeksi dan kontrol aliran yang lebih mendalam selain pemfilteran domain, pertimbangkan untuk melakukan deployment AWS Network Firewall. Layanan ini memeriksa masing-masing paket individual dengan menggunakan aturan stateless atau stateful untuk menentukan apakah akan menolak atau mengizinkan lalu lintas. Anda dapat mengambil pendekatan serupa untuk memfilter lalu lintas web masuk ke titik akhir publik Anda dengan menggunakan AWS WAF. Untuk panduan lebih lanjut tentang layanan ini, lihat SEC05-BP03 Menerapkan perlindungan berbasis inspeksi.

Langkah-langkah implementasi

  1. Identifikasi aliran data yang diperlukan antara komponen-komponen beban kerja Anda.

  2. Terapkan beberapa kontrol dengan defense-in-depth pendekatan untuk lalu lintas masuk dan keluar, termasuk penggunaan grup keamanan, dan tabel rute. 

  3. Gunakan firewall untuk menentukan kontrol halus atas lalu lintas jaringan masuk, keluar, dan melintasi Anda, seperti Firewall DNS Resolver Route 53VPCs,, dan. AWS Network Firewall AWS WAF Pertimbangkan untuk menggunakan AWS Firewall Manager untuk mengonfigurasi dan mengelola aturan firewall secara terpusat di seluruh organisasi Anda.

Sumber daya

Praktik-praktik terbaik terkait:

Dokumen terkait:

Alat terkait:

Video terkait:

Contoh terkait: