Segurança - Teste de carga distribuído na AWS
Perfis do IAMAmazon CloudFrontAmazon API GatewayGrupo de segurança AWS FargateAmazon VPCTeste de estresse de redeRestringindo o acesso à interface pública do usuárioSegurança do servidor MCP (opcional)

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Segurança

Quando você cria sistemas na infraestrutura da AWS, as responsabilidades de segurança são compartilhadas entre você e a AWS. Esse modelo de responsabilidade compartilhada reduz seus encargos operacionais, pois a AWS opera, gerencia e controla os componentes, incluindo o sistema operacional do host, a camada de virtualização e a segurança física das instalações onde os serviços operam. Para obter mais informações sobre segurança da AWS, visite Segurança da Nuvem AWS.

Perfis do IAM

As funções do AWS Identity and Access Management (IAM) permitem que os clientes atribuam políticas e permissões de acesso granulares a serviços e usuários na nuvem da AWS. Essa solução cria funções do IAM que concedem às funções do AWS Lambda da solução acesso para criar recursos regionais.

Amazon CloudFront

Essa solução implanta uma interface de usuário da web hospedada em um bucket do Amazon S3, que é distribuído pela Amazon. CloudFront Para ajudar a reduzir a latência e melhorar a segurança, essa solução inclui uma CloudFront distribuição com uma identidade de acesso de origem, que é um CloudFront usuário que fornece acesso público ao conteúdo do bucket do site da solução. Por padrão, a CloudFront distribuição usa o TLS 1.2 para impor o nível mais alto de protocolo de segurança. Para obter mais informações, consulte Restringir o acesso a uma origem do Amazon S3 no CloudFront Amazon Developer Guide.

CloudFront ativa mitigações de segurança adicionais para acrescentar cabeçalhos de segurança HTTP à resposta de cada visualizador. Para obter mais informações, consulte Adicionar ou remover cabeçalhos HTTP nas CloudFront respostas.

Essa solução usa o CloudFront certificado padrão, que tem um protocolo de segurança mínimo suportado de TLS v1.0. Para impor o uso do TLS v1.2 ou do TLS v1.3, você deve usar um certificado SSL personalizado em vez do certificado padrão. CloudFront Para obter mais informações, consulte Como configuro minha CloudFront distribuição para usar um SSL/TLS certificado.

Amazon API Gateway

Essa solução implanta endpoints do Amazon API Gateway otimizados para borda RESTful APIs para fornecer a funcionalidade de teste de carga usando o endpoint padrão do API Gateway em vez de um domínio personalizado. Para otimizar a borda APIs usando o endpoint padrão, o API Gateway usa a política de segurança TLS-1-0. Para obter mais informações, consulte Como trabalhar com REST APIs no Guia do desenvolvedor do Amazon API Gateway.

Essa solução usa o certificado padrão do API Gateway, que tem um protocolo de segurança mínimo suportado de TLS v1.0. Para impor o uso do TLS v1.2 ou do TLS v1.3, você deve usar um domínio personalizado com um certificado SSL personalizado em vez do certificado padrão do API Gateway. Para obter mais informações, consulte Configuração de nomes de domínio personalizados para REST APIs.

Grupo de segurança AWS Fargate

Por padrão, essa solução abre a regra de saída do grupo de segurança do AWS Fargate para o público. Se você quiser impedir que o AWS Fargate envie tráfego para qualquer lugar, altere a regra de saída para um roteamento entre domínios sem classe (CIDR) específico.

Esse grupo de segurança também inclui uma regra de entrada que permite tráfego local na porta 50.000 para qualquer fonte que pertença ao mesmo grupo de segurança. Isso é usado para permitir que os contêineres se comuniquem entre si.

Amazon VPC

VPC: uma nuvem privada virtual (VPC) baseada no serviço Amazon VPC oferece uma rede privada e logicamente isolada na nuvem da AWS.

Você pode especificar sua própria VPC nos CloudFormation parâmetros da AWS durante a implantação. A VPC é usada exclusivamente pelas tarefas do ECS que geram carga; o console web e a API não são implantados nessa VPC. Se você não especificar uma VPC existente, a solução criará uma nova VPC com a configuração de rede necessária. Se você optar por usar uma VPC existente, ela deverá atender aos seguintes requisitos para executar as tarefas de teste de carga com êxito.

Requisitos da VPC

Os requisitos mínimos para que uma VPC seja usada com testes de carga distribuída na AWS estão listados abaixo.

  • O VPC deve conter pelo menos dois AZs

  • A VPC deve conter pelo menos duas sub-redes, cada uma em uma AZ separada

  • As sub-redes VPC podem ser públicas ou privadas, mas devem usar a mesma configuração (pública OU privada)

  • A VPC deve fornecer acesso aos endpoints para ECR, CloudWatch Logs, S3 e IoT Core.

  • A VPC deve fornecer acesso aos serviços visados pelos testes de carga.

nota

Se você não tiver uma VPC que atenda a esses critérios, poderá criar uma VPC com o assistente de VPC rapidamente. Para obter mais informações, consulte Criar uma VPC.

As sub-redes públicas podem atender a esses requisitos incluindo o seguinte:

  • Um gateway de internet conectado à VPC

  • Uma rota para o gateway da Internet (0.0.0.0/0)

As sub-redes privadas podem atender a esses requisitos por meio do uso de gateways NAT ou endpoints VPC, conforme descrito abaixo.

Opção 1: NAT Gateway

  • Implemente um gateway NAT em cada AZ com sub-redes privadas

  • Configurar tabelas de rotas para rotear o tráfego vinculado à Internet (0.0.0.0/0) por meio do NAT Gateway

Opção 2: VPC Endpoints

Crie os seguintes endpoints de VPC em sua VPC:

  • Endpoint da API Amazon ECR: com.amazonaws.<region>.ecr.api

  • Endpoint Amazon ECR DKR: com.amazonaws.<region>.ecr.dkr

  • Endpoint CloudWatch do Amazon Logs: com.amazonaws.<region>.logs

  • Endpoint do Amazon S3 Gateway: com.amazonaws.<region>.s3

  • Endpoint do AWS IoT Core (necessário se estiver usando os gráficos de dados ao vivo) com.amazonaws.<region>.iot.data

Outras configurações de VPC também podem funcionar.

Importante

O grupo de segurança conectado a cada interface do VPC endpoint deve permitir o tráfego TCP de entrada na porta 443 do grupo de segurança de tarefas do ECS.

Configuração do grupo de segurança

Durante a implantação, a solução criará um grupo de segurança em sua VPC para permitir o seguinte tráfego com tarefas no cluster do ECS:

  • Todo o tráfego de saída

  • Tráfego de entrada na porta 50000 de outras tarefas no mesmo grupo de segurança, para facilitar a coordenação entre as tarefas do trabalhador e do líder.

Teste de estresse de rede

Você é responsável por usar essa solução de acordo com a política de teste de estresse de rede. Essa política abrange situações como quando você planeja executar testes de rede de alto volume diretamente de suas instâncias da Amazon para outros locais, como outras EC2 instâncias da Amazon EC2 , propriedades/serviços da AWS ou endpoints externos. Esses testes às vezes são chamados de testes de estresse, testes de carga ou testes de dia de jogo. A maioria dos testes com clientes não se enquadra nessa política; no entanto, consulte essa política se você acredita que gerará tráfego que se sustenta, em conjunto, por mais de 1 minuto, mais de 1 Gbps (1 bilhão de bits por segundo) ou mais de 1 Gpps (1 bilhão de pacotes por segundo).

Restringindo o acesso à interface pública do usuário

Para restringir o acesso à interface de usuário pública além dos mecanismos de autenticação e autorização fornecidos pelo IAM e pelo Amazon Cognito, use a solução de automação de segurança AWS WAF (web application firewall).

Essa solução implanta automaticamente um conjunto de regras do AWS WAF que filtram ataques comuns baseados na web. Os usuários podem selecionar recursos de proteção pré-configurados que definem as regras incluídas em uma lista de controle de acesso à web (web ACL) do AWS WAF.

Segurança do servidor MCP (opcional)

Se você implantar a integração opcional do MCP Server, a solução usará o AWS AgentCore Gateway para fornecer acesso seguro aos dados de teste de carga para agentes de IA. AgentCore O Gateway valida os tokens de autenticação do Amazon Cognito para cada solicitação, garantindo que somente usuários autorizados possam acessar o MCP Server. A função Lambda do MCP Server implementa padrões de acesso somente para leitura, impedindo que agentes de IA modifiquem as configurações ou os resultados dos testes. Todas as interações do MCP Server usam os mesmos limites de permissão e controles de acesso do console web.