As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Restringir o tráfego de saída de uma VPC
<a name="restricting-outbound-traffic"></a>

## Restringir o tráfego de saída de uma VPC usando grupos de segurança
<a name="restricting-outbound-traffic-security-groups"></a>

Depois de avaliar os requisitos de tráfego de saída da sua arquitetura, comece a modificar as regras do grupo de segurança da sua VPC para atender às necessidades de segurança da organização. Certifique-se de adicionar todas as portas, protocolos e endereços IP de destino necessários às listas de permissão dos seus grupos de segurança.

Para obter mais informações, consulte [Controlar o tráfego para recursos usando grupos de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) no *Guia do usuário da Amazon VPC*.

**Importante**  
Depois de atualizar as regras do grupo de segurança da VPC em seu ambiente de teste, certifique-se de confirmar que a aplicação ainda está operando conforme o esperado. Para obter mais informações, consulte a seção **Práticas recomendadas para analisar o tráfego de saída da VPC ao usar logs de fluxo da VPC** deste guia.

*Principais considerações sobre grupos de segurança para serviços específicos AWS *

**Amazon Elastic Compute Cloud (Amazon EC2)**

Quando uma VPC é criada, ela possui um [grupo de segurança padrão](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/default-custom-security-groups.html#default-security-group) que permite todo o tráfego de saída. As instâncias do Amazon Elastic Compute Cloud (Amazon EC2) usam esse grupo de segurança padrão, a menos que você crie seus próprios [grupos de segurança personalizados](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/default-custom-security-groups.html#creating-your-own-security-groups).

**Importante**  
Para reduzir o risco da sua instância do Amazon EC2 usar o grupo de segurança padrão de forma não intencional, remova todas as regras de saída do grupo. Para obter mais informações, consulte **Excluir regras de grupos de segurança** na seção [Trabalhar com regras de grupos de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#working-with-security-group-rules) no *Guia do usuário da Amazon VPC*.

**Amazon Relational Database Service (Amazon RDS)**

Todas as regras de grupo de segurança de saída para uma instância de banco de dados do Amazon RDS podem ser removidas, a menos que o banco de dados atue como um cliente. Para obter mais informações, consulte [Visão geral de grupos de segurança da VPC](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html#Overview.RDSSecurityGroups.VPCSec) no *Guia do usuário do Amazon RDS*.

**Amazon ElastiCache**

Todas as regras de grupos de segurança de saída para instâncias Amazon ElastiCache (Redis OSS) e Amazon ElastiCache (Memcached) podem ser removidas, a menos que a instância atue como cliente. Para saber mais, consulte:
+ [Grupos de segurança: EC2-Classic (Guia](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SecurityGroups.html) do *usuário do Amazon ElastiCache (Redis OSS*))
+ [Understanding ElastiCache and Amazon VPCs](https://docs.aws.amazon.com/AmazonElastiCache/latest/mem-ug/VPCs.EC.html) *(Guia do usuário do Amazon ElastiCache (Memcached))*

## Restringindo o tráfego de saída de uma VPC usando AWS Network Firewall nomes de host DNS
<a name="restricting-outbound-traffic-network-firewall-hostnames"></a>

Quando uma aplicação usa endereços IP dinâmicos, é prática recomendada filtrar o tráfego de saída da VPC usando nomes de host de DNS em vez de endereços IP. Por exemplo, se uma aplicação estiver usando um Application Load Balancer, os endereços IP associados à aplicação mudarão porque os nós escalam continuamente. Nesse tipo de situação, é mais seguro usar nomes de host de DNS para filtrar o tráfego de rede de saída do que endereços IP estáticos.

É possível usar o [AWS Network Firewall](https://aws.amazon.com/network-firewall/) para restringir o acesso de saída da sua VPC à Internet a um conjunto de nomes de host fornecidos pelo [Server Name Indication (SNI)](https://https.cio.gov/sni/) no tráfego HTTPS.

Para obter mais informações e exemplos de regras de política do Firewall, consulte [Filtragem de domínio](https://docs.aws.amazon.com/network-firewall/latest/developerguide/suricata-examples.html#suricata-example-domain-filtering) no *Guia do desenvolvedor do AWS Network Firewall *. Para obter instruções detalhadas, consulte o seguinte padrão de Recomendações da AWS (APG): [Usar o Network Firewall para capturar nomes de domínio de DNS do Server Name Indication (SNI) para tráfego de saída](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/use-network-firewall-to-capture-the-dns-domain-names-from-the-server-name-indication-sni-for-outbound-traffic.html).

**Observação**  
O SNI é uma extensão do TLS que permanece sem criptografia no fluxo de tráfego. Ele indica o nome do host de destino que um cliente está tentando acessar via HTTPS.

**Importante**  
Depois de atualizar as regras stateful do Network Firewall em seu ambiente de teste, certifique-se de que a aplicação ainda esteja funcionando conforme o esperado. Certifique-se de que nenhum dos nomes de domínio de DNS fornecidos pelo SNI estejam bloqueados.

*Exemplo de arquitetura*

O diagrama a seguir mostra um exemplo de arquitetura para AWS Network Firewall filtrar o tráfego de saída de uma VPC usando nomes de host DNS:

![Arquitetura de exemplo para AWS Network Firewall filtrar o tráfego de saída de uma VPC usando nomes de host DNS](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/secure-outbound-network-traffic/images/network-firewall-architecture-dns-hostnames.png)


O diagrama mostra o seguinte fluxo de trabalho:

1. A solicitação de saída é proveniente da sub-rede privada e é enviada para o gateway NAT na sub-rede protegida.

1. O tráfego HTTPS recebido pelo gateway NAT é roteado para um AWS Network Firewall endpoint na sub-rede pública.

1. AWS Network Firewall inspeciona a solicitação e aplica as regras de política de firewall configuradas para aceitar ou recusar a solicitação de passar para o gateway da Internet.

1. As solicitações de saída aprovadas são enviadas para o gateway da Internet.

1. O tráfego aprovado do gateway da Internet é enviado à Internet para acessar o URL pretendido (fornecido pelo SNI no cabeçalho HTTPS não criptografado).