Servizi AWS Funzionalità Funzionalità di sicurezza

Panoramica dei servizi di AWS rete per le offerte SaaS

Questa sezione descrive i servizi AWS di rete a cui si fa riferimento in questa guida. Inoltre, confronta le loro capacità e descrive le considerazioni sulla sicurezza per ogni servizio.

Questa sezione contiene i seguenti argomenti:

AWS servizi di rete
Confronto delle funzionalità del servizio
Caratteristiche e considerazioni sulla sicurezza

AWS servizi di rete

Di seguito sono riportati Servizi AWS gli argomenti trattati in modo coerente in questa guida.

AWS PrivateLink

AWS PrivateLinkè un servizio nativo del cloud che può fornire l'accesso alla tua offerta SaaS se i tuoi clienti operano già in. Cloud AWS Il tuo cliente si connette all'offerta SaaS tramite un endpoint VPC di interfaccia. Si tratta di un'interfaccia di rete endpoint fornita in una o più sottoreti del cliente. Account AWS Negli scenari di questa guida, il traffico viaggia attraverso l'interfaccia VPC endpoint e arriva a un Network Load Balancer del tuo account. Il Network Load Balancer inoltra il traffico all'applicazione SaaS, che hai registrato come servizio endpoint. Tramite gli endpoint VPC di risorse, AWS PrivateLink può anche aiutarti ad accedere ad altre risorse, come i database.

Amazon VPC Lattice

Amazon VPC Lattice è un servizio di rete di applicazioni che aiuta i provider SaaS a offrire i propri servizi in modo sicuro ed efficiente ai clienti che operano su più piattaforme. VPCs Account AWS I clienti accedono alla tua offerta SaaS tramite VPC Lattice, che offre connettività di rete coerente, solidi controlli degli accessi e gestione avanzata del traffico. In questi scenari, il traffico fluisce attraverso VPC Lattice verso i servizi applicativi registrati. Fornisce comunicazioni scalabili e sicure, indipendentemente dal servizio di elaborazione utilizzato.

Peering VPC

Il peering VPC è una connessione di rete tra due cloud privati virtuali (VPCs) che indirizza il traffico tra di essi utilizzando indirizzi o IPv4 indirizzi privati. IPv6 Il peering VPC viene in genere utilizzato tra entità attendibili, come quelle all'interno della stessa organizzazione. Il cliente crea una richiesta di peering a uno dei tuoi. VPCs Una volta accettata, il traffico può fluire tra i due VPCs in entrambe le direzioni. Questo approccio di connessione si distingue per la sua unicità perché implica la comunicazione diretta tra due persone VPCs senza alcun servizio o infrastruttura di intermediazione da gestire.

AWS Transit Gateway

AWS Transit Gatewayè un hub di transito di rete centralizzato in grado di connettere VPCs connessioni di rete privata virtuale (VPN), AWS Direct Connect gateway, dispositivi virtuali di terze parti in un VPC e altri gateway di transito. Un gateway di transito può avere una tabella di routing diversa per ogni allegato. Ciò offre la massima flessibilità per il routing e aiuta a isolare le reti. Viene spesso utilizzato per collegarne molte tra VPCs loro o per l'ispezione centralizzata.

AWS Site-to-Site VPN

AWS Site-to-Site VPNpuò utilizzare la tecnologia Internet Protocol Security (IPsec) per stabilire connessioni tra reti locali, uffici remoti, fabbriche, altri provider di servizi cloud e la AWS rete globale. La connessione viene stabilita da un gateway privato virtuale o da un gateway di transito in un VPC Cloud AWS a un gateway cliente fisico o basato su software, che può essere in locale o nel Cloud AWS cloud di un altro CSP. La connessione può avvenire tramite Internet o tramite una connessione fisica. AWS Direct Connect È anche possibile avere una connessione Site-to-Site VPN accelerata utilizzando AWS Global Accelerator. Una connessione accelerata indirizza il traffico verso una posizione AWS periferica e offre una latenza ridotta e prestazioni migliorate.

AWS Direct Connect

AWS Direct Connectstabilisce una connessione privata ad alta velocità tra un data center locale e. Cloud AWS Bypassando la rete Internet pubblica, Direct Connect fornisce una connessione a bassa latenza più affidabile, sicura e coerente a. Cloud AWS I clienti si connettono a una delle Direct Connect sedi e quindi scelgono una connessione ospitata o dedicata a. AWS Sebbene si tratti di una scelta di architettura non comune per le offerte SaaS, può essere adatta ai provider SaaS che hanno pochi ma grandi clienti aziendali.

Confronto delle funzionalità del servizio

La tabella seguente illustra le funzionalità supportate di Servizi AWS quelle illustrate in questa guida. Di seguito sono riportate le descrizioni delle funzionalità incluse in questa tabella:

Intervalli CIDR sovrapposti: può connettere due o più reti con intervalli CIDR uguali o sovrapposti
Comunicazione bidirezionale: può supportare un canale di comunicazione bidirezionale in modo che il consumatore SaaS possa esporre risorse interne, come un database, al provider SaaS
IPv6— Può supportare uno o due stack IPv6
Jumbo frame: può supportare frame jumbo con una dimensione del frame fino a 8.500 byte
Cloud ibrido: può supportare una connessione con una rete locale
Multi-cloud: può supportare una connessione tra reti su diversi provider di servizi cloud

Servizio o approccio	Intervalli CIDR sovrapposti	Comunicazione bidirezionale	IPv6	Cornice Jumbo	Cloud ibrido	Multicloud
Peering VPC	No	Sì	Sì	^{Sì 5}	No	No
AWS PrivateLink	Sì	Sì ¹	Sì	Sì	No ⁶	N° ⁶
Amazon VPC Lattice	Sì	Sì ¹	Sì	Sì	No ⁶	N° ⁶
AWS Transit Gateway	No	Sì	Sì	Sì	Sì ³	Sì ³
AWS Site-to-Site VPN	No	Sì	Sì	No	Sì	Sì
AWS Direct Connect	No	Sì	Sì	Sì ²	Sì	Sì
Accesso pubblico a Internet ⁴	Non applicabile	No	Sì	Sì	Sì	Sì

Con risorse VPC in Amazon VPC Lattice
Solo per interfacce virtuali private e di transito
Con Site-to-Site VPN o allegati AWS Direct Connect
Come termine generale per le AWS risorse che rendono un'applicazione accessibile al pubblico, come un Application Load Balancer
Solo per connessioni peering all'interno di una Regione AWS
Possibile tramite una connessione Layer 3 preesistente tra gli ambienti

Caratteristiche e considerazioni sulla sicurezza

La tabella seguente descrive le funzionalità di sicurezza Servizi AWS illustrate in questa guida.

Mezzi di autenticazione: come puoi assicurarti che solo i tuoi clienti possano connettersi al tuo servizio. Di solito è ancora necessario un altro livello di autenticazione per le richieste in entrata, specialmente negli ambienti con tenant condivisi.
Crittografia in transito: descrive se la crittografia in transito è fornita per impostazione predefinita. La crittografia nativa descrive la crittografia che AWS fornisce tutto il traffico all'interno VPCs VPCs, tra o tra i data center. La crittografia supplementare descrive la crittografia controllata dall'utente e che può essere interrotta dal rispettivo servizio.

Servizio o approccio	Mezzi di autenticazione	Crittografia in transito
Peering VPC	Avviate una richiesta di peering verso il Account AWS VPC del vostro cliente o accettate una richiesta da lui avviata. Vedi Accettare o rifiutare una connessione peering VPC.	Solo crittografia nativa
AWS PrivateLink	Sei tu a scegliere quali Account AWS sono autorizzati a creare endpoint per il tuo servizio. Questi account sono noti come indirizzi principali consentiti. Vedi Accettare o rifiutare le richieste di connessione.	Solo crittografia nativa
Amazon VPC Lattice	Condividete un servizio o una rete di assistenza VPC Lattice con i vostri clienti. Account AWS Vedi Condividi le tue entità VPC Lattice.	Crittografia nativa e crittografia TLS supplementare
AWS Transit Gateway	Il cliente crea una richiesta di peering allegato a partire da lui oppure sei tu Account AWS ad avviare la richiesta. Vedi gli allegati di peering del gateway Transit in Amazon VPC Transit Gateway.	Crittografia nativa e crittografia supplementare con IPsec un allegato VPN
AWS Site-to-Site VPN	Utilizzi chiavi IPsec precondivise o un certificato privato sul dispositivo del cliente. Vedi le opzioni di autenticazione AWS Site-to-Site VPN del tunnel.	Crittografia supplementare IPsec
AWS Direct Connect	Il cliente crea una richiesta di interfaccia virtuale dal proprio Account AWS. Visualizza le interfacce Direct Connect virtuali e le interfacce virtuali ospitate.	Crittografia supplementare di livello 2 possibile in siti selezionati. Vedi Direct Connect Sedi.
Accesso pubblico a Internet ¹	È richiesta l'autenticazione personalizzata.	È possibile una crittografia TLS supplementare

Come termine generale per le AWS risorse che rendono un'applicazione accessibile al pubblico, come un Application Load Balancer

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Metriche di sicurezza e governance

Valutazione delle opzioni