Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Sicurezza dell'infrastruttura in Amazon VPC
Come servizio gestito, Amazon Virtual Private Cloud è protetto dalle procedure di sicurezza della rete AWS globale. Per informazioni sui servizi di AWS sicurezza e su come AWS protegge l'infrastruttura, consulta la pagina Sicurezza del AWS cloud
Utilizza le API chiamate AWS pubblicate da per accedere a Amazon VPC tramite la rete. I client devono supportare quanto segue:
-
Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
-
Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman DHE (Elliptic Curve Ephemeral Diffie-Hellman). ECDHE La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
Inoltre, le richieste devono essere firmate utilizzando un ID chiave di accesso e una chiave di accesso segreta associata a un'IAMentità. O puoi utilizzare AWS Security Token Service (AWS STS) per generare credenziali di sicurezza temporanee per sottoscrivere le richieste.
Isolamento della rete
Un Virtual Private Cloud (VPC) è una rete virtuale nell'area logicamente isolata in AWS Cloud. Utilizza la modalità separata VPCs per isolare l'infrastruttura in base a carico di lavoro o entità dell'organizzazione.
Una sottorete è un intervallo di indirizzi IP in unVPC. Quando avvii un'istanza, questa operazione viene eseguita in una sottorete VPC nel. Utilizza sottoreti per isolare i livelli dell'applicazione (ad esempio, web, applicazione e database) all'interno di un'unica. VPC Utilizza sottoreti private per le istanze se non devono essere accessibili direttamente da Internet.
Puoi utilizzare AWS PrivateLinkper consentire alle risorse del tuo di connettersi VPC a Servizi AWS utilizzando indirizzi IP privati, come se tali servizi fossero ospitati direttamente nel tuoVPC. Pertanto, per accedere a non è necessario utilizzare gateway o NAT dispositivi Internet Servizi AWS.
Controllo del traffico di rete
Valuta le opzioni seguenti per il controllo del traffico di rete verso le risorse nel tuoVPC, ad EC2 esempio:
Utilizza i gruppi di sicurezza come meccanismo principale per controllare l'accesso della rete alVPCs. Se necessario, utilizza la rete ACLs per fornire un controllo di rete stateless non granulare. I gruppi di sicurezza sono più versatili della rete ACLs grazie alla loro capacità di eseguire il filtro dei pacchetti stateful e di creare regole che fanno riferimento ad altri gruppi di sicurezza. La rete ACLs può essere efficace come controllo secondario (ad esempio, per rifiutare un sottoinsieme specifico di traffico) o per fornire alla sottorete una protezione di alto livello. Inoltre, poiché le reti ACLs si applicano a un'intera sottorete, possono essere utilizzate come defense-in-depth se un'istanza venga avviata senza il gruppo di sicurezza corretto.
Utilizza sottoreti private per le istanze se non devono essere accessibili direttamente da Internet. Utilizza un host o NAT gateway bastione per l'accesso a Internet dalle istanze nelle sottoreti private.
Configura le tabelle di instradamento della sottorete con i percorsi di rete minimi per supportare i tuoi requisiti di connettività.
Prendi in considerazione l'utilizzo di gruppi di sicurezza aggiuntivi per controllare e verificare il traffico di gestione delle EC2 istanze Amazon separatamente dal normale traffico delle applicazioni. Pertanto, puoi implementare IAM policy speciali per il controllo delle modifiche, semplificando l'audit delle modifiche apportate alle regole dei gruppi di sicurezza o agli script di verifica automatica delle regole. Più interfacce di rete forniscono inoltre opzioni aggiuntive per il controllo del traffico di rete, inclusa la possibilità di creare policy di routing basate su host o sfruttare diverse regole di instradamento delle VPC sottoreti basate sulle interfacce di rete assegnate a una sottorete.
-
Utilizza AWS Virtual Private Network o AWS Direct Connect per stabilire connessioni private da reti remote alVPCs. Per ulteriori informazioni, consulta la sezione relativa alle opzioni di Network-to-Amazon VPC connettività.
-
Utilizza Log di VPC flusso per monitorare il traffico che raggiunge le istanze.
-
Utilizza AWS Security Hub
per verificare accessibilità di rete indesiderata dalle istanze. -
Utilizza AWS Network Firewallper proteggere le sottoreti del sistema VPC dalle minacce di rete comuni.
Confronto dei gruppi di sicurezza e della rete ACLs
Nella tabella seguente vengono riepilogate le differenze basilari tra i gruppi di sicurezza e la reteACLs.
| Gruppo di sicurezza | Rete ACL |
|---|---|
| Opera a livello di istanza. | Opera a livello di sottorete. |
| Si applica a un'istanza solo se è associata all'istanza | Si applica a tutte le istanze distribuite nella sottorete associata (fornendo un livello di difesa supplementare se le regole del gruppo di sicurezza sono troppo permissive) |
| Supporta solo le regole Consenti. | Supporta le regole Consenti e Nega. |
| Valuta tutte le regole prima di decidere se consentire il traffico. | Quando decidiamo se consentire il traffico, valutiamo le regole in un certo ordine, a partire dalla regola numerata più bassa. |
| Stateful: il traffico di ritorno è consentito, a prescindere dalle regole | Stateless: il traffico di ritorno deve essere consentito esplicitamente dalle regole. |
Nel diagramma seguente sono illustrati i livelli di sicurezza forniti dai gruppi di sicurezza e dalla rete. ACLs Ad esempio, il traffico da un Internet Gateway viene instradato alla sottorete appropriata utilizzando le route nella tabella di instradamento. Le regole della rete ACL associata alla sottorete determinano quale traffico è consentito alla sottorete. Le regole del gruppo di sicurezza associato a un'istanza determinano quale traffico è consentito all'istanza.
È possibile proteggere le istanze utilizzando solo gruppi di sicurezza. Tuttavia, è possibile aggiungere la rete ACLs come ulteriore livello di difesa. Per ulteriori informazioni, consulta Esempio: controllo dell'accesso alle istanze in una sottorete.
