SEC05-BP01 Buat lapisan jaringan - Pilar Keamanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

SEC05-BP01 Buat lapisan jaringan

Segmentasikan topologi jaringan Anda ke dalam lapisan yang berbeda-beda berdasarkan pengelompokan logis komponen beban kerja Anda sesuai dengan sensitivitas data dan persyaratan aksesnya. Bedakan antara komponen yang memerlukan akses masuk dari internet, seperti titik akhir web publik, dan komponen yang hanya membutuhkan akses internal, seperti basis data.

Hasil yang diinginkan: Lapisan jaringan Anda adalah bagian dari defense-in-depth pendekatan integral terhadap keamanan yang melengkapi otentikasi identitas dan strategi otorisasi beban kerja Anda. Lapisan-lapisan diterapkan berdasarkan sensitivitas data dan persyaratan akses, dengan arus lalu lintas dan mekanisme kontrol yang sesuai.

Anti-pola umum:

  • Anda membuat semua sumber daya dalam satu VPC atau subnet.

  • Anda menyusun konsep lapisan-lapisan jaringan tanpa mempertimbangkan persyaratan sensitivitas data, perilaku komponen, atau fungsionalitas.

  • Anda menggunakan VPCs dan subnet sebagai default untuk semua pertimbangan lapisan jaringan, dan Anda tidak mempertimbangkan bagaimana layanan AWS terkelola memengaruhi topologi Anda.

Manfaat menerapkan praktik terbaik ini: Membangun lapisan jaringan adalah langkah pertama dalam membatasi jalur-jalur yang tidak perlu melalui jaringan, terutama jalur-jalur yang mengarah pada sistem dan data kritis. Hal ini akan mempersulit pelaku yang tidak sah untuk mendapatkan akses ke jaringan Anda dan menavigasi ke sumber daya tambahan di dalamnya. Lapisan-lapisan jaringan terpisah (discrete) bermanfaat dalam mengurangi cakupan analisis untuk sistem inspeksi, seperti untuk deteksi intrusi atau pencegahan malware. Hal ini dapat mengurangi potensi positif palsu dan overhead pemrosesan yang tidak perlu.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Tinggi

Panduan implementasi

Saat merancang arsitektur beban kerja, biasanya berbagai komponen dipisahkan menjadi lapisan yang berbeda-beda berdasarkan tanggung jawabnya. Misalnya, sebuah aplikasi web dapat memiliki lapisan presentasi, lapisan aplikasi, dan lapisan data. Anda dapat mengambil pendekatan yang serupa saat merancang desain topologi jaringan Anda. Kontrol jaringan yang mendasarinya dapat membantu Anda memberlakukan persyaratan akses data pada beban kerja Anda. Misalnya, dalam arsitektur aplikasi web tiga tingkat, Anda dapat menyimpan file lapisan presentasi statis Anda di Amazon S3 dan menyajikannya dari jaringan pengiriman konten CDN (), seperti Amazon. CloudFront Lapisan aplikasi dapat memiliki titik akhir publik yang berfungsi Application Load Balancer ALB () di subnet publik VPCAmazon (mirip dengan zona demiliterisasi, DMZ atau), dengan layanan back-end yang digunakan ke subnet pribadi. Lapisan data tersebut, yang merupakan sumber daya hosting seperti basis data dan sistem file bersama, dapat berada di subnet privat yang berbeda dari sumber daya lapisan aplikasi Anda. Pada setiap batas lapisan ini (CDN, subnet publik, subnet pribadi), Anda dapat menerapkan kontrol yang memungkinkan hanya lalu lintas resmi untuk melintasi batas-batas tersebut.

Serupa dengan pemodelan lapisan jaringan berdasarkan tujuan fungsional komponen beban kerja Anda, pertimbangkan juga sensitivitas data yang diproses. Menggunakan contoh aplikasi web tersebut, meskipun semua layanan beban kerja Anda mungkin berada dalam lapisan aplikasi, layanan yang berbeda dapat memproses data dengan tingkat sensitivitas yang berbeda. Dalam hal ini, membagi lapisan aplikasi menggunakan beberapa subnet pribadi, berbeda VPCs dalam hal yang sama Akun AWS, atau bahkan berbeda VPCs berbeda Akun AWS untuk setiap tingkat sensitivitas data mungkin sesuai dengan persyaratan kontrol Anda.

Pertimbangan lebih lanjut yang harus dilakukan untuk lapisan jaringan adalah konsistensi perilaku dari komponen-komponen yang dimiliki oleh beban kerja Anda. Melanjutkan dengan contoh ini, di lapisan aplikasi, Anda mungkin memiliki layanan yang menerima input dari pengguna akhir atau integrasi sistem eksternal yang secara inheren lebih berisiko daripada input ke layanan lain. Contohnya termasuk unggahan file, skrip kode yang dijalankan, pemindaian email, dan sebagainya. Dengan menempatkan layanan-layanan tersebut di lapisan jaringannya sendiri, akan terbentuk batas isolasi yang lebih kuat di sekitarnya, dan perilaku uniknya dapat dicegah agar tidak menghasilkan peringatan positif palsu dalam sistem inspeksi.

Sebagai bagian dari desain Anda, pertimbangkan bagaimana menggunakan layanan AWS terkelola memengaruhi topologi jaringan Anda. Jelajahi bagaimana layanan seperti Amazon VPC Lattice dapat membantu mempermudah interoperabilitas komponen beban kerja Anda di seluruh lapisan jaringan. Saat menggunakan AWS Lambda, terapkan di VPC subnet Anda kecuali ada alasan khusus untuk tidak melakukannya. Tentukan di mana VPC titik akhir dan AWS PrivateLinkdapat menyederhanakan mematuhi kebijakan keamanan yang membatasi akses ke gateway internet.

Langkah-langkah implementasi

  1. Tinjau arsitektur beban kerja Anda. Kelompokkan komponen dan layanan secara logis berdasarkan fungsi yang dijalankan, sensitivitas data yang diproses, dan perilakunya.

  2. Untuk komponen-komponen yang merespons permintaan dari internet, pertimbangkan untuk menggunakan penyeimbang beban atau perantara lainnya guna menyediakan titik akhir publik. Jelajahi pengalihan kontrol keamanan dengan menggunakan layanan terkelola, seperti Amazon API Gateway CloudFront, Elastic Load Balancing, AWS Amplifydan untuk menampung titik akhir publik.

  3. Untuk komponen yang berjalan di lingkungan komputasi, seperti EC2 instans Amazon, AWS Fargatecontainer, atau fungsi Lambda, terapkan ini ke subnet pribadi berdasarkan grup Anda dari langkah pertama.

  4. Untuk AWS layanan yang dikelola sepenuhnya, seperti Amazon DynamoDB, Amazon Kinesis, atau SQSAmazon, pertimbangkan untuk VPC menggunakan titik akhir sebagai default untuk akses melalui alamat IP pribadi.

Sumber daya

Praktik-praktik terbaik terkait:

Video terkait:

Contoh terkait: