Sicurezza dell'infrastruttura in Amazon VPC
Come servizio gestito, Amazon Virtual Private Cloud è protetto dalle procedure di sicurezza della rete globale AWS. Per informazioni sui servizi di sicurezza AWSe su come AWSprotegge l'infrastruttura, consulta la pagina Sicurezza del cloud AWS
Utilizza le chiamate all'API pubblicate da AWS per accedere a Amazon VPC tramite la rete. I client devono supportare quanto segue:
-
Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
-
Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
Isolamento di rete
Un cloud privato virtuale (VPC) è una rete virtuale nell'area logicamente isolata nel cloud AWS. Utilizza VPC separati per isolare l'infrastruttura in base a carico di lavoro o entità dell'organizzazione.
Una sottorete è un intervallo di indirizzi IP in un VPC. Quando avvii un'istanza, questa operazione viene eseguita in una sottorete nel VPC. Utilizza sottoreti per isolare i livelli dell'applicazione (ad esempio, web, applicazione e database) all'interno di un singolo VPC. Utilizza sottoreti private per le istanze se non devono essere accessibili direttamente da Internet.
Puoi utilizzare AWS PrivateLink per consentire alle risorse del VPC di connettersi a Servizi AWS utilizzando indirizzi IP privati, come se tali servizi fossero ospitati direttamente nel VPC. Pertanto, per accedere a Servizi AWS non è necessario utilizzare gateway Internet o dispositivi NAT.
Controllo del traffico di rete
Valuta le opzioni seguenti per il controllo del traffico di rete verso le risorse nel VPC, come le istanze EC2:
Sfrutta i gruppi di sicurezza come meccanismo principale per controllare l'accesso della rete ai VPC. Se necessario, utilizza le liste di controllo degli accessi alla rete (ACL di rete) per fornire un controllo di rete stateless non granulare. I gruppi di sicurezza sono più versatili delle ACL di rete grazie alla loro capacità di eseguire il filtro dei pacchetti stateful e di creare regole che fanno riferimento ad altri gruppi di sicurezza. Le ACL di rete possono essere efficaci come controllo secondario (ad esempio, per rifiutare un sottoinsieme specifico di traffico) o per fornire alla sottorete una protezione di alto livello. Inoltre, poiché le ACL di rete si applicano a un'intera sottorete, possono essere utilizzate come difesa in profondità nel caso in cui un'istanza venga avviata senza il gruppo di sicurezza corretto.
Utilizza sottoreti private per le istanze se non devono essere accessibili direttamente da Internet. Utilizza un host bastione o gateway NAT per l'accesso a Internet dalle istanze nelle sottoreti private.
Configura le tabelle di instradamento della sottorete con i percorsi di rete minimi per supportare i tuoi requisiti di connettività.
Prendi in considerazione l'utilizzo di gruppi di sicurezza aggiuntivi per controllare e verificare il traffico di gestione delle istanze Amazon EC2 separatamente dal normale traffico delle applicazioni. Pertanto, puoi implementare policy IAM speciali per il controllo delle modifiche, semplificando l'audit delle modifiche apportate alle regole dei gruppi di sicurezza o agli script di verifica automatica delle regole. Più interfacce di rete forniscono inoltre opzioni aggiuntive per il controllo del traffico di rete, inclusa la possibilità di creare policy di instradamento basate su host o sfruttare diverse regole di instradamento delle sottoreti VPC basate sulle interfacce di rete assegnate a una sottorete.
-
Utilizza Rete privata virtuale AWS o Direct Connect per stabilire connessioni private da reti remote ai VPC. Per ulteriori informazioni, consulta Opzioni di connettività tra rete e Amazon VPC.
-
Utilizza Log di flusso VPC per monitorare il traffico che raggiunge le istanze.
-
Utilizza AWS Security Hub
per verificare accessibilità di rete indesiderata dalle istanze. -
Utilizza AWS Network Firewall per proteggere le sottoreti del VPC dalle minacce di rete comuni.
Confronto dei gruppi di sicurezza e delle liste di controllo accessi di rete
Nella tabella seguente vengono riepilogate le differenze basilari tra i gruppi di sicurezza e le liste di controllo accessi di rete.
| Caratteristica | Gruppo di sicurezza | Lista di controllo degli accessi di rete |
|---|---|---|
| Livello di funzionamento | Livello di istanza | Livello di sottorete |
| Ambito | Si applica a tutte le istanze associate al gruppo di sicurezza | Si applica a tutte le istanze nelle sottoreti associate |
| Tipo di regola | Solo consenti regole | Consenti e rifiuta regole |
| Valutazione delle regole | Valuta tutte le regole prima di decidere se consentire il traffico. | Valuta le regole in ordine crescente finché non viene trovata una corrispondenza per il traffico |
| Traffico di ritorno | Consentito automaticamente (stateful) | Deve essere esplicitamente consentito (stateless) |
Nel diagramma seguente sono illustrati i livelli di sicurezza forniti dai gruppi di sicurezza e dalle liste di controllo accessi di rete. Ad esempio, il traffico da un Internet Gateway viene instradato alla sottorete appropriata utilizzando le route nella tabella di instradamento. Le regole delle liste di controllo accessi di rete associate alla sottorete determinano quale traffico è consentito alla sottorete. Le regole del gruppo di sicurezza associato a un'istanza determinano quale traffico è consentito all'istanza.
È possibile proteggere le istanze utilizzando solo gruppi di sicurezza. Tuttavia, è possibile aggiungere le liste di controllo degli accessi di rete come ulteriore livello di difesa. Per ulteriori informazioni, consulta Esempio: controllo dell'accesso alle istanze in una sottorete.
