本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

SEC05-BP02 控制網路層內的流量流程

在網路層內，使用進一步的分隔方式，將流量限於每個工作負載所需的流程。首先，專注於控制網際網路或其他外部系統到工作負載與您的環境之間的流量 (南北流量)。接著查看不同元件和系統之間的流量 (東西流量)。

預期成果：您只允許工作負載的元件所需的網路流程互相通訊，以及與其用戶端和其相依的任何其他服務進行通訊。您的設計考量到公有與私有輸入和輸出之間的比較、資料分類、區域法規以及協定需求等因素。在可能的情況下，您會偏好 point-to-point透過網路對等進行流程，作為最低權限設計原則的一部分。

常見的反模式：

建立此最佳實務的優勢：此實務有助於降低網路內發生未經授權行動的風險，並且為您的工作負載增加一層額外的授權。透過執行流量流程控制，您就可以限制安全事件的影響範圍，並加快偵測和回應速度。

未建立此最佳實務時的曝險等級：高

實作指引

雖然網路層有助於建立工作負載中提供類似函數、資料敏感度層級和行為的元件邊界，但您可以使用 技術來進一步分割這些層內遵循最低權限原則的元件，從而建立更精細的流量控制層級。在 內 AWS，網路層主要是根據 Amazon 內的 IP 地址範圍使用子網路定義VPC。也可以使用不同的 定義層VPCs，例如依業務網域分組微服務環境。使用多個 時VPCs，請使用 調節路由AWS Transit Gateway。雖然這使用安全群組和路由表提供第 4 層 （IP 地址和連接埠範圍） 的流量控制，但您可以使用其他服務獲得進一步控制，例如 AWS PrivateLink、Amazon Route 53 Resolver DNS Firewall 、 AWS Network Firewall和 AWS WAF。

了解並清查工作負載的資料流程和通訊需求，包括連線起始方、連接埠、通訊協定和網路層。評估可用於建立連線和傳輸資料的通訊協定，以選取符合保護需求的通訊協定 （例如，HTTPS而非 HTTP）。在網路邊界和每一層內擷取這些需求。確定這些需求後，探索僅允許必要的流量流經每個連線點的選項。一個好的起點是在您的 中使用安全群組VPC，因為它們可以連接到使用彈性網路介面 （ENI） 的資源，例如 Amazon EC2執行個體、Amazon ECS任務、Amazon EKS Pod 或 Amazon RDS 資料庫。與第 4 層防火牆不同的是，安全群組可以設置一項規則來依識別碼允許來自另一個安全群組的流量，藉此盡量減少群組內的資源隨時間改變所需的更新。您也可以使用安全群組的傳入和傳出規則來篩選流量。

當流量在 之間移動時VPCs，通常會使用VPC對等進行簡單路由，或使用 AWS Transit Gateway 進行複雜路由。使用這些方法可讓來源和目的地網路的 IP 位址範圍之間的流量更順暢。不過，如果您的工作負載只需要不同 中特定元件之間的流量，VPCs請考慮使用 point-to-point連線AWS PrivateLink。若要這樣做，請確定哪些服務應作為生產者，哪些服務應作為取用者。部署生產者的相容負載平衡器，相應地 PrivateLink開啟，然後接受消費者的連線請求。然後，生產者服務會從消費者的私有 IP 地址指派VPC，供消費者用來提出後續請求。這種方法減少了對等網路的需求。包含資料處理和負載平衡的成本，作為評估 的一部分 PrivateLink。

雖然安全群組和 PrivateLink 協助控制工作負載元件之間的流程，但另一個主要考量是如何控制資源允許存取的DNS網域 （如果有的話）。根據 的DHCP組態VPCs，您可以為此考慮兩種不同的 AWS 服務。大多數客戶會使用其CIDR範圍VPCs的 +2 地址可用的預設 Route 53 Resolver DNS服務 （也稱為 Amazon DNS 伺服器或 AmazonProvidedDNS）。透過此方法，您可以建立DNS防火牆規則並將其與 建立關聯VPC，以決定要針對您提供的網域清單採取哪些動作。

如果您不使用 Route 53 Resolver，或是想要用網域篩選以外更深入的檢測和流程控制功能來輔助 Resolver，請考慮部署 AWS Network Firewall。此服務會使用無狀態或有狀態規則來檢測個別封包，以確定是否拒絕或允許流量。您可以採用類似的方法，使用 AWS WAF篩選前往公有端點的傳入 Web 流量。如需這些服務的進一步指引，請參閱 SEC05-BP03 實作檢查型保護 。

實作步驟

資源

相關的最佳實務：

相關文件：

相關工具：

相關影片：

相關範例：