Amazon VPC 中的基礎設施安全 - Amazon Virtual Private Cloud
網路隔離控制網路流量比較安全群組和網路 ACLs

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon VPC 中的基礎設施安全

作為受管服務,Amazon Virtual Private Cloud 受到 AWS 全球網路安全的保護。如需有關 AWS 安全服務以及如何 AWS 保護基礎設施的資訊,請參閱 AWS Cloud Security。若要使用基礎設施安全的最佳實務設計您的 AWS 環境,請參閱 Security Pillar AWS Well‐Architected Framework 中的基礎設施保護

您可以使用 AWS 發佈的 API 呼叫透過網路存取 Amazon VPC。使用者端必須支援下列專案:

  • Transport Layer Security (TLS)。我們需要 TLS 1.2 並推薦 TLS 1.3。

  • 具有完美正向保密 (PFS) 的加密套件,例如 DHE (Ephemeral Diffie-Hellman) 或 ECDHE (Elliptic Curve Ephemeral Diffie-Hellman)。現代系統(如 Java 7 和更新版本)大多會支援這些模式。

此外,必須使用與 IAM 主體相關聯的存取金鑰 ID 和秘密存取金鑰來簽署請求。或者,您可以使用 AWS Security Token Service (AWS STS) 來產生暫時安全登入資料來簽署請求。

網路隔離

虛擬私有雲端 (VPC) 是 AWS 雲端中您自己的邏輯隔離區域中的虛擬網路。使用單獨的 VPCs 依工作負載或組織實體隔離基礎設施。

子網路是 VPC 中 IP 地址的範圍。啟動執行個體時,您會將其啟動到 VPC 中的子網路。使用子網路來隔離單一 VPC 中的應用程式層 (例如 Web、應用程式和資料庫)。如果不應該從網際網路直接存取,則針對您的執行個體使用私有子網。

您可以使用 AWS PrivateLink 啟用 VPC 中的資源,以 AWS 服務 使用私有 IP 地址連線至 ,就像這些服務直接託管在 VPC 中一樣。因此,您不需要使用網際網路閘道或 NAT 裝置即可存取 AWS 服務。

控制網路流量

請考慮下列選項,以控制 VPC 中資源的網路流量,例如 EC2 執行個體:

  • 使用安全群組作為控制 VPCs 網路存取的主要機制。必要時,請使用網路 ACLs 提供無狀態粗粒網路控制。安全群組比網路 ACLs 更多樣化,因為其可執行具狀態封包篩選並建立參考其他安全群組的規則。網路ACLs可作為次要控制項 (例如,拒絕特定流量子集) 或高階子網路防護軌道。此外,由於網路 ACLs 適用於整個子網路,因此如果在沒有正確安全群組的情況下啟動執行個體,則可以使用 as defense-in-depth。

  • 如果不應該從網際網路直接存取,則針對您的執行個體使用私有子網。使用基礎主機或 NAT 閘道從私有子網路中的執行個體進行網際網路存取。

  • 設定具有最少網路路由的子網路路由表,以支援連線需求。

  • 請考慮使用其他安全群組或網路介面,以控制和稽核與一般應用程式流量分開的 Amazon EC2 執行個體管理流量。因此,您可以實作變更控制的特殊 IAM 政策,以便更輕鬆地稽核安全群組規則或自動規則驗證指令碼的變更。多個網路介面也提供控制網路流量的其他選項,包括能夠根據指派給子網路的網路介面建立主機型路由政策或利用不同的 VPC 子網路路由規則。

  • 使用 AWS Virtual Private Network 或 AWS Direct Connect 建立從遠端網路到 VPCs 的私有連線。如需詳細資訊,請參閱 Network-to-Amazon VPC Word連線選項

  • 使用 VPC Flow Logs 來監控到達執行個體的流量。

  • 使用 AWS Security Hub 檢查來自您執行個體的意外網路存取性。

  • 使用 AWS Network Firewall來保護 VPC 中的子網路免受常見的網路威脅。

比較安全群組和網路 ACLs

下表摘要說明安全群組與網路 ACLs 之間的基本差異。

安全群組 網路ACL
在執行個體層級運作 在子網路層級運作
僅當其與執行個體相關聯時才套用至執行個體 套用至部署在相關子網中的所有執行個體 (如果安全群組規則太過寬鬆,則提供額外一層防禦)
僅支援允許規則 支援允許規則和拒絕規則
在決定是否允許流量前,先評估所有規則 在決定是否允許流量時,從編號最低的規則開始依序評估規則
具狀態:允許傳回流量,不受任何規則影響 無狀態:傳回流量必須經該規則明確允許

下圖說明安全群組和網路 ACLs 提供的安全層。例如,網際網路閘道傳出的流量會透過路由表中的路由來路由至適合的子網路。與子網路相關聯的網路 ACL 規則會控制哪些流量可允許至子網路。與執行個體相關聯的安全群組規則會控制允許哪些流量傳入執行個體。

流量是使用安全群組和網路 ACLs 來控制

您只能使用安全群組來保護執行個體。不過,您可以新增網路 ACLs 作為額外的防禦層。如需詳細資訊,請參閱範例:控制對子網路中執行個體的存取