View a markdown version of this page

SEC05-BP02 Kontrol arus lalu lintas dalam lapisan jaringan Anda - AWS Well-Architected Framework
Panduan implementasiSumber daya

SEC05-BP02 Kontrol arus lalu lintas dalam lapisan jaringan Anda

Dalam lapisan jaringan Anda, gunakan segmentasi lebih lanjut untuk membatasi lalu lintas hanya ke arus yang diperlukan untuk setiap beban kerja. Pertama, fokuslah pada kontrol lalu lintas antara internet atau sistem eksternal lainnya ke beban kerja dan lingkungan Anda (lalu lintas utara-selatan). Setelah itu, lihat arus di antara komponen dan sistem yang berbeda (lalu lintas timur-barat).

Hasil yang diinginkan: Anda hanya mengizinkan alur jaringan yang diperlukan agar komponen beban kerja Anda dapat berkomunikasi satu sama lain serta dengan kliennya dan layanan lain yang diandalkannya. Desain Anda mempertimbangkan lalu lintas masuk dan keluar publik dibandingkan dengan privat, klasifikasi data, peraturan regional, dan persyaratan protokol. Sebisa mungkin, Anda lebih mengutamakan aliran titik ke titik daripada peering jaringan sebagai bagian dari desain prinsip hak akses paling rendah.

Antipola umum:

  • Anda mengambil pendekatan berbasis perimeter untuk keamanan jaringan dan hanya mengontrol arus lalu lintas di batas lapisan jaringan Anda.

  • Anda menganggap semua lalu lintas dalam lapisan jaringan diautentikasi dan diotorisasi.

  • Anda menerapkan kontrol untuk salah satu lalu lintas masuk atau lalu lintas keluar, tetapi tidak keduanya.

  • Anda hanya mengandalkan komponen beban kerja dan kontrol jaringan untuk mengautentikasi dan mengotorisasi lalu lintas.

Manfaat menjalankan praktik terbaik ini: Praktik ini membantu mengurangi risiko pergerakan yang tidak sah dalam jaringan Anda dan menambahkan lapisan otorisasi tambahan ke beban kerja Anda. Dengan melakukan kontrol arus lalu lintas, Anda dapat membatasi cakupan dampak insiden keamanan serta mempercepat deteksi dan respons.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Tinggi

Panduan implementasi

Meskipun lapisan jaringan membantu menetapkan batas-batas di sekitar komponen beban kerja Anda yang memberikan fungsi, tingkat sensitivitas data, dan perilaku yang serupa, Anda dapat membuat tingkat kontrol lalu lintas yang jauh lebih terperinci menggunakan berbagai teknik untuk membagi komponen lebih lanjut dalam lapisan tersebut yang mengikuti prinsip hak akses paling rendah. Dalam AWS, lapisan jaringan terutama ditentukan menggunakan subnet sesuai dengan rentang alamat IP dalam Amazon VPC. Lapisan juga dapat ditentukan menggunakan VPC yang berbeda-beda, seperti untuk mengelompokkan lingkungan layanan mikro berdasarkan domain bisnis. Saat menggunakan beberapa VPC, mediasikan perutean menggunakan AWS Transit Gateway. Meskipun hal ini menyediakan kontrol lalu lintas pada tingkat Lapisan 4 (alamat IP dan rentang port) menggunakan grup keamanan dan tabel rute, Anda dapat memperoleh kontrol lebih lanjut menggunakan layanan tambahan, seperti AWS PrivateLink, Firewall DNS Amazon Route 53 Resolver, AWS Network Firewall, dan AWS WAF.

Pahami dan inventarisasikan aliran data dan persyaratan komunikasi beban kerja Anda berdasarkan pihak yang memulai koneksi, port, protokol, dan lapisan jaringan. Evaluasi protokol yang tersedia untuk membuat koneksi dan mentransmisikan data guna memilih protokol yang memenuhi persyaratan perlindungan Anda (misalnya, HTTPS, bukan HTTP). Terapkan persyaratan ini di batas-batas jaringan Anda dan dalam setiap lapisan. Setelah persyaratan ini diidentifikasi, tinjau opsi-opsi untuk mengizinkan lalu lintas yang diperlukan saja yang dapat mengalir di setiap titik koneksi. Titik awal yang baik adalah menggunakan grup keamanan dalam VPC Anda karena dapat dilampirkan ke sumber daya yang menggunakan Antarmuka Jaringan Elastis (ENI), seperti instans Amazon EC2, tugas Amazon ECS, pod Amazon EKS, atau basis data Amazon RDS. Tidak seperti firewall Lapisan 4, grup keamanan dapat memiliki aturan yang mengizinkan lalu lintas dari grup keamanan lain berdasarkan pengidentifikasinya, sehingga meminimalkan pembaruan seiring berubahnya sumber daya dalam grup dari waktu ke waktu. Anda juga dapat memfilter lalu lintas dengan aturan masuk dan keluar menggunakan grup keamanan.

Ketika lalu lintas bergerak di antara VPC, biasanya peering VPC digunakan untuk perutean sederhana atau AWS Transit Gateway untuk perutean kompleks. Dengan pendekatan ini, Anda memfasilitasi arus lalu lintas antara rentang alamat IP jaringan sumber dan tujuan. Namun, jika beban kerja Anda hanya memerlukan arus lalu lintas antara komponen tertentu di VPC yang berbeda, pertimbangkan untuk menggunakan koneksi titik ke titik menggunakan AWS PrivateLink. Untuk melakukannya, identifikasi layanan mana yang harus bertindak sebagai produsen dan mana yang harus bertindak sebagai konsumen. Lakukan deployment penyeimbang beban yang kompatibel untuk produsen, aktifkan PrivateLink sebagaimana diperlukan, lalu terima permintaan koneksi dari konsumen. Layanan produsen kemudian diberi alamat IP privat dari VPC konsumen yang dapat digunakan konsumen untuk membuat permintaan selanjutnya. Pendekatan ini mengurangi kebutuhan untuk melakukan peering jaringan. Sertakan biaya untuk pemrosesan data dan penyeimbangan beban sebagai bagian dari evaluasi PrivateLink.

Sementara grup keamanan dan PrivateLink membantu mengontrol aliran antarkomponen beban kerja Anda, pertimbangan utama lainnya adalah cara mengontrol domain DNS mana yang boleh diakses sumber daya Anda (jika ada). Bergantung pada konfigurasi DHCP pada VPC Anda, Anda dapat mempertimbangkan dua layanan AWS yang berbeda untuk tujuan ini. Sebagian besar pelanggan menggunakan layanan DNS Route 53 Resolver default (juga disebut server DNS Amazon atau AmazonProvidedDNS) yang tersedia untuk VPC di +2 alamat dari rentang CIDR-nya. Dengan pendekatan ini, Anda dapat membuat aturan Firewall DNS lalu mengaitkannya ke VPC Anda yang menentukan tindakan apa yang harus diambil untuk daftar domain yang Anda berikan.

Jika Anda tidak menggunakan Route 53 Resolver, atau jika Anda ingin melengkapi Resolver dengan kemampuan inspeksi dan kontrol aliran yang lebih mendalam selain pemfilteran domain, pertimbangkan untuk melakukan deployment AWS Network Firewall. Layanan ini memeriksa paket individual menggunakan aturan stateless atau stateful untuk menentukan apakah akan menolak atau mengizinkan lalu lintas. Anda dapat mengambil pendekatan serupa untuk memfilter lalu lintas web masuk ke titik akhir publik Anda menggunakan AWS WAF. Untuk panduan lebih lanjut tentang layanan tersebut, lihat SEC05-BP03 Implementasikan perlindungan berbasis inspeksi.

Langkah implementasi

  1. Identifikasi aliran data yang diperlukan antarkomponen beban kerja Anda.

  2. Terapkan beberapa kontrol dengan pendekatan pertahanan mendalam untuk lalu lintas masuk dan keluar, termasuk penggunaan grup keamanan, dan tabel rute. 

  3. Gunakan firewall untuk menentukan kontrol terperinci terhadap lalu lintas jaringan masuk, keluar, dan di seluruh VPC Anda, seperti Firewall DNS Route 53 Resolver, AWS Network Firewall, dan AWS WAF. Pertimbangkan untuk menggunakan AWS Firewall Manager untuk mengonfigurasi dan mengelola aturan firewall secara terpusat di seluruh organisasi Anda.

Sumber daya

Praktik terbaik terkait:

Dokumen terkait:

Alat terkait:

Video terkait:

Contoh terkait: