SEC05-BP01 Creare livelli di rete - Pilastro della sicurezza
Guida all'implementazioneRisorse

SEC05-BP01 Creare livelli di rete

Segmenta la topologia di rete in diversi livelli basati su raggruppamenti logici dei componenti del carico di lavoro in base alla sensibilità dei dati e ai requisiti di accesso. Distingui tra i componenti che richiedono l'accesso in entrata da Internet, come gli endpoint Web pubblici, e quelli che necessitano solo di un accesso interno, come i database.

Risultato desiderato: i livelli della rete fanno parte di un defense-in-depth approccio integrale alla sicurezza che integra la strategia di autenticazione e autorizzazione delle identità dei carichi di lavoro. I livelli sono implementati in base alla sensibilità dei dati e ai requisiti di accesso, con meccanismi adeguati in termini di flusso e controllo del traffico.

Anti-pattern comuni:

  • Crei tutte le risorse in un'unica VPC o in una sottorete.

  • Creazione dei livelli di rete senza considerare i requisiti di sensibilità dei dati, il comportamento dei componenti o la loro funzionalità.

  • Utilizzate VPCs le sottoreti come impostazioni predefinite per tutte le considerazioni a livello di rete e non tenete conto del modo AWS in cui i servizi gestiti influenzano la topologia.

Vantaggi dell'adozione di questa best practice: la definizione di livelli di rete è il primo passo per limitare i percorsi superflui lungo la rete, in particolare quelli che conducono a sistemi e dati critici. In tal modo gli attori non autorizzati avranno più difficoltà ad accedere alla rete e a navigare verso altre risorse al suo interno. I livelli di rete discreti riducono l'ambito di analisi dei sistemi di ispezione, ad esempio per il rilevamento delle intrusioni o la prevenzione del malware. Di conseguenza, si riduce il potenziale di falsi positivi e il sovraccarico di elaborazione non necessario.

Livello di rischio associato se questa best practice non fosse adottata: elevato

Guida all'implementazione

Quando si progetta l'architettura di un carico di lavoro, è comune separare i componenti in diversi livelli in base alle rispettive responsabilità. Ad esempio, un'applicazione Web può avere un livello di presentazione, uno di applicazione e uno di dati. È possibile adottare un approccio simile quando progetti la tua topologia di rete. I controlli di rete sottostanti possono contribuire a far rispettare i requisiti di accesso ai dati del carico di lavoro. Ad esempio, in un'architettura di applicazioni Web a tre livelli, puoi archiviare i file statici del livello di presentazione su Amazon S3 e servirli da una rete di distribuzione di contenuti CDN (), come Amazon. CloudFront Il livello dell'applicazione può avere endpoint pubblici che un Application Load Balancer ALB () serve in una sottorete pubblica VPCAmazon (simile a una zona demilitarizzata DMZ o), con servizi di back-end distribuiti in sottoreti private. Il livello dati che funge da host per risorse come database e file system condivisi può risiedere in sottoreti private diverse dalle risorse del livello applicativo. In corrispondenza dei confini di ciascuno di questi livelli (sottorete pubblicaCDN, sottorete privata), puoi implementare controlli che consentono solo al traffico autorizzato di attraversare tali confini.

Analogamente alla modellazione dei livelli di rete in base allo scopo funzionale dei componenti del carico di lavoro, occorre prendere in considerazione anche la sensibilità dei dati elaborati. Utilizzando l'esempio dell'applicazione Web, mentre tutti i servizi del carico di lavoro possono risiedere all'interno del livello di applicazione, servizi diversi possono elaborare dati con livelli di sensibilità differenti. In questo caso, la suddivisione del livello dell'applicazione utilizzando più sottoreti private, diverse tra loro o addirittura diverse VPCs Account AWS per ogni livello di sensibilità dei dati Account AWS, può essere appropriata VPCs in base ai requisiti di controllo.

Un'ulteriore considerazione per i livelli di rete consiste nella coerenza del comportamento dei componenti del carico di lavoro. Continuando con l'esempio, nel livello di applicazione possono essere presenti servizi che accettano input dagli utenti finali o integrazioni di sistemi esterni intrinsecamente più rischiosi rispetto agli input di altri servizi. A titolo esemplificativo, si possono citare il caricamento di file, l'esecuzione di script di codice, la scansione di e-mail e così via. La collocazione di questi servizi nel proprio livello di rete contribuisce a creare un limite di isolamento più forte attorno a essi e può evitare che il loro comportamento unico crei falsi positivi in termini di allarmi nei sistemi di ispezione.

Come parte della progettazione, considerate come l'uso dei servizi AWS gestiti influenzi la topologia della rete. Scopri come servizi come Amazon VPC Lattice possono aiutarti a semplificare l'interoperabilità dei componenti del carico di lavoro tra i livelli di rete. Durante l'utilizzo AWS Lambda, esegui la distribuzione nelle VPC sottoreti, a meno che non vi siano motivi specifici per non farlo. Determina dove sono VPC gli endpoint e AWS PrivateLinkpuoi semplificare l'adesione alle politiche di sicurezza che limitano l'accesso ai gateway Internet.

Passaggi dell'implementazione

  1. Rivedi l'architettura del carico di lavoro. Raggruppa in modo logico componenti e servizi in base alle funzioni che svolgono, alla sensibilità dei dati elaborati e al loro comportamento.

  2. Per i componenti che rispondono alle richieste provenienti da Internet, prendi in considerazione l'utilizzo di bilanciatori del carico o altri proxy per fornire endpoint pubblici. Esplora l'evoluzione dei controlli di sicurezza utilizzando servizi gestiti, come Amazon API Gateway CloudFront, Elastic Load Balancing, AWS Amplifye per ospitare endpoint pubblici.

  3. Per i componenti in esecuzione in ambienti di elaborazione, come EC2 istanze Amazon, AWS Fargatecontenitori o funzioni Lambda, distribuiscili in sottoreti private basate sui tuoi gruppi sin dal primo passaggio.

  4. Per AWS servizi completamente gestiti, come Amazon DynamoDB, Amazon Kinesis o SQSAmazon, prendi in considerazione l'utilizzo degli endpoint come impostazione predefinita per VPC l'accesso tramite indirizzi IP privati.

Risorse

Best practice correlate:

Video correlati:

Esempi correlati: