As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Como determinar os requisitos de segurança da sua VPC
**Importante**
É prática recomendada projetar e testar a arquitetura de segurança de tráfego de saída da sua VPC em um ambiente de teste. Testar mudanças na arquitetura em um ambiente de desenvolvimento reduz o risco de acionar comportamentos não intencionais do sistema.
Antes de fazer alterações nos padrões de tráfego de saída da rede, é importante entender os padrões de tráfego que sua aplicação precisa para operar conforme o esperado. Essas informações podem ajudar a identificar quais padrões de tráfego permitir e quais negar ao redefinir a arquitetura da sua rede.
Para analisar os padrões de tráfego de saída existentes da sua VPC, ative primeiro os [Logs de fluxo da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html). Em seguida, use um ambiente de teste para executar a aplicação em vários cenários de uso e analisar o tráfego simulado nos logs de fluxo.
Os logs de fluxo da VPC registram o tráfego IP de entrada e saída da sua VPC. Em seguida, a Amazon VPC envia os registros para o Amazon Simple Storage Service (Amazon S3) ou para a Amazon. CloudWatch É possível visualizar e analisar os logs usando uma das seguintes ferramentas:
+ (Para Amazon S3) Amazon Athena
+ (Para CloudWatch) CloudWatch Logs Insights
Para obter mais informações e consultas de exemplo, consulte:
+ [Consultar os logs de fluxo da Amazon VPC](https://docs.aws.amazon.com/athena/latest/ug/vpc-flow-logs.html) (*Guia do usuário do Amazon Athena*)
+ [Como posso usar CloudWatch as consultas do Logs Insights com meu registro de fluxo de VPC?](https://aws.amazon.com/premiumsupport/knowledge-center/vpc-flow-logs-and-cloudwatch-logs-insights/) (*Centro de AWS conhecimento*)
+ [CloudWatch Sintaxe de consulta do Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_QuerySyntax.html) (*Guia do usuário do Amazon CloudWatch Logs*)
Para obter detalhes sobre os tipos de informações capturados pelos logs de fluxo da VPC, consulte [Exemplos de registro em log de fluxo](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-records-examples.html) no *Guia do usuário da Amazon VPC*.
**Observação**
Os logs de fluxo da VPC não capturam informações da camada de aplicação (camada 7), como nomes de host de DNS. Se seus requisitos de segurança exigirem a análise dos dados da camada de aplicação, é possível implantar o [AWS Network Firewall](https://aws.amazon.com/network-firewall/) para capturar os detalhes necessários. Para obter mais informações, consulte a seção **Restringir o tráfego de saída de uma VPC usando AWS Network Firewall nomes de host DNS deste guia**.
## Práticas recomendadas para analisar o tráfego de saída da VPC usando logs de fluxo da VPC
Ao analisar seus registros de fluxo de VPC usando consultas do Amazon Athena CloudWatch ou do Logs Insights, certifique-se de fazer o seguinte:
+ Identifique e analise o tráfego de entrada e saída que flui pelas [interfaces de rede elásticas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) conectadas aos recursos usados pela aplicação.
+ Identifique e analise o tráfego da aplicação que flui pela interface de rede conectada ao gateway NAT.
+ Certifique-se de capturar todo o tráfego de saída de uma interface de rede transformando o endereço de origem em sua consulta no endereço IP privado da interface de rede.
+ Escreva suas consultas para focar apenas em padrões de tráfego inesperados. (Por exemplo, se a aplicação se comunica com entidades de terceiros, como um endpoint da API HTTPS, as consultas podem ser criadas para não incluir essas entidades.)
+ Investigue a validade de cada porta e endereço IP de destino. (Por exemplo, uma porta de destino de saída 22 pode ser normal para um bastion host ou um host que clona repositórios do Git usando SSH.)
**Observação**
Se você estiver trabalhando com o Amazon Athena pela primeira vez, certifique-se de configurar um local para o resultado da consulta. Para obter instruções, consulte [Especificar um local para resultados de consultas usando o console do Athena](https://docs.aws.amazon.com/athena/latest/ug/querying.html#query-results-specify-location-console) no *Guia do usuário do Amazon Athena*.
*Exemplos de consultas do Amazon Athena*
**Exemplo de consulta do Athena que retorna tráfego administrativo de saída de uma interface de rede específica**
A seguinte consulta do Athena retorna as primeiras 200 linhas de tráfego administrativo de saída de uma interface de rede com o endereço IP **10.100.0.10**:
```
SELECT * FROM ""
WHERE interface_id = 'eni-1234567890000000' AND srcaddr LIKE '10.100.0.10' AND dstport < 1024
LIMIT 200;
```
**Exemplo de saída**
| | |
| --- |--- |
| **\#** | 1 |
| **version** | 2 |
| **account\_id** | |
| **interface\_id** | eni-123456789000000 |
| **srcaddr** | 10.32.0.10 |
| **dstaddr** | 11.22.33.44 |
| **srcport** | 36952 |
| **dstport** | 443 |
| **protocol** | 6 |
| **packets** | 25 |
| **bytes** | 5445 |
| **start** | 1659310200 |
| **end** | 1659310225 |
| **ação** | ACCEPT |
| **log\_status** | OK |
| **data** | 2022-07-16 |
**Observação**
A saída nesse padrão foi formatada para fins de apresentação e pode aparecer de forma diferente em seu sistema.
**Exemplo de consulta do Athena que retorna endereços IP externos que recebem a maior parte do tráfego de uma VPC específica**
A seguinte consulta do Athena retorna os endereços IP externos e as portas que recebem a maior parte do tráfego de saída de uma VPC com um bloco CIDR começando com **“10.32”**:
```
SELECT dstport, dstaddr,
count(*) AS count
FROM ""
WHERE dstaddr not like '10.32%' AND interface_id = 'eni-1234567890000000'
GROUP BY dstport, dstaddr
ORDER BY count desc
LIMIT 200;
```
**Exemplo de saída**
| | | | |
| --- |--- |--- |--- |
| **\#** | **Dstport** | **Dstaddr** | **count** |
| 1 | 443 | 52.x.x.x | 1442 |
| 2 | 443 | 63.x.x.x | 1201 |
| 3 | 443 | 102.x.x.x | 887 |
**Exemplo de consulta do Athena que retorna tráfego de saída rejeitado de uma VPC específica**
A seguinte consulta do Athena retorna o tráfego de saída rejeitado de uma VPC com um bloco CIDR começando com **“10.32”**:
```
SELECT *
FROM ""
WHERE srcaddr like '10.32%' AND action LIKE 'REJECT'
```
**Exemplo de saída**
| | |
| --- |--- |
| **\#** | 1 |
| **version** | 2 |
| **account\_id** | |
| **interface\_id** | eni-123456789000000 |
| **srcaddr** | 10.32.0.10 |
| **dstaddr** | 11.22.33.44 |
| **srcport** | 36952 |
| **dstport** | 443 |
| **protocol** | 6 |
| **packets** | 25 |
| **bytes** | 5445 |
| **start** | 1659310200 |
| **end** | 1659310225 |
| **ação** | REJECT |
| **log\_status** | OK |
| **data** | 2022-07-16 |
**Observação**
A saída nesse padrão foi formatada para fins de apresentação e pode aparecer de forma diferente em seu sistema.
Para obter mais informações sobre como interpretar resultados de consultas do Athena, consulte [Registros de log de fluxo](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-log-records) no *Guia do usuário da Amazon VPC*.
*CloudWatch Exemplos de consultas do Logs Insights*
**CloudWatch Exemplo de consulta do Logs Insights que retorna tráfego administrativo de saída de uma interface de rede específica**
A consulta do CloudWatch Logs Insights a seguir retorna os primeiros 200 resultados do tráfego administrativo de saída de uma interface de rede com o endereço IP **10.100.0.10**:
```
fields @timestamp, @message
| filter interfaceId = 'eni-1234567890000000'
| filter srcAddr = '10.100.0.10'
| filter dstPort < 1024
| limit 200
```
**Exemplo de saída**
| | |
| --- |--- |
| **Campo** | **Valor** |
| @ingestionTime | 1659310250813 |
| @log | :/aws/vpc/flowlogs |
| @logStream | eni-123456789000000-all |
| @message | 2 eni-123456789000000 10.100.0.10 11.22.33.44 36952 443 6 25 5445 1659310200 1659310225 ACCEPT OK |
| @timestamp | 1659310200000 |
| accountId | |
| action | ACCEPT |
| bytes | 5445 |
| dstAddr | 11.22.33.44 |
| dstPort | 443 |
| end | 1659310225 |
| interfaceId | eni-123456789000000 |
| logStatus | OK |
| packets | 25 |
| protocol | 6 |
| srcAddr | 10.100.0.10 |
| srcPort | 36952 |
| rápido | 1659310200 |
| version | 2 |
**Exemplo de consulta do CloudWatch Logs Insights que retorna endereços IP externos que recebem mais tráfego de uma VPC específica**
A consulta do CloudWatch Logs Insights a seguir retorna os endereços IP externos e as portas que recebem a maior parte do tráfego de saída de uma VPC com um bloco CIDR começando **com** '10.32':
```
filter @logstream = 'eni-1234567890000000'
| stats count(*) as count by dstAddr, dstPort
| filter dstAddr not like '10.32'
| order by count desc
| limit 200
```
**Exemplo de saída**
| | | | |
| --- |--- |--- |--- |
| **\#** | **dstAddr** | **dstPort** | **count** |
| 1 | 52.x.x.x | 443 | 439 |
| 2 | 51.79.xx | 63.x.x.x | 25 |
**Exemplo de consulta do CloudWatch Logs Insights que retorna tráfego de saída rejeitado de uma VPC específica**
A consulta do CloudWatch Logs Insights a seguir retorna o tráfego de saída rejeitado de uma VPC com um bloco CIDR começando **com** '10.32':
```
filter @logstream = 'eni-0123456789000000'
| fields @timestamp, @message
| filter action='REJECT'
```
**Exemplo de saída**
| | |
| --- |--- |
| **Campo** | **Valor** |
| @ingestionTime | 1666991000899 |
| @log | :/aws/vpc/flowlogs |
| @logStream | eni-0123456789000000-all |
| @message | 2 'eni-0123456789000000' 185.x.x.x 10.10.2.222 55116 11211 17 1 43 1666990939 1666990966 REJECT OK |
| @timestamp | 1666990939000 |
| accountId | |
| action | REJECT |
| bytes | 43 |
| dstAddr | 10.10.2.222 |
| dstPort | 11211 |
| end | 1666990966 |
| interfaceId | 'eni-0123456789000000' |
| logStatus | OK |
| packets | 1 |
| protocolo | 17 |
| srcAddr | 185.x.x.x |
| srcPort | 55116 |
| rápido | 1666990939 |
| version | 2 |