Praktik terbaik - AWS Bimbingan Preskriptif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik

Kami merekomendasikan praktik terbaik berikut untuk memigrasikan aplikasi zona perimeter Anda ke AWS Cloud:

  • Rancang arsitektur target Anda untuk mendukung firewall jaringan pihak ketiga, hanya jika Anda dapat mengekspos firewall ke jaringan VPC aplikasi melalui Load Balancer Gateway.

  • Gunakan jaringan tepercaya untuk mengamankan arus lalu lintas antara VPC AWS aplikasi Anda dan lingkungan lokal Anda. Anda dapat membangun jaringan tepercaya dengan menggunakan AWS Direct Connectatau AWS Site-to-Site VPN.

  • Gunakan arsitektur target Anda untuk mengekspos aplikasi web ke jaringan yang tidak tepercaya, tetapi hindari menggunakannya dengan API.

  • Gunakan VPC Flow Logs selama fase pengujian. Ini karena mungkin ada beberapa komponen yang saling berhubungan yang memerlukan konfigurasi dan verifikasi yang benar.

  • Validasi aturan masuk dan keluar yang diperlukan untuk setiap aplikasi dan ketersediaannya AWS Network Firewall selama fase desain migrasi.

  • Jika eksternal Layanan AWS seperti Amazon Simple Storage Service (Amazon S3) atau Amazon DynamoDB diperlukan, maka sebaiknya Anda mengekspos layanan tersebut ke VPC aplikasi melalui titik akhir (dalam subnet titik akhir). Ini mencegah komunikasi melalui jaringan yang tidak tepercaya.

  • Menyediakan akses ke sumber daya (Amazon EC2, dalam hal ini) melalui AWS Systems Manager Session Manageruntuk menghindari akses SSH langsung ke sumber daya.

  • Application Load Balancer menyediakan ketersediaan tinggi untuk aplikasi dan routing lalu lintas masuk dan keluar dengan menggunakan Network Firewall. Tidak diperlukan penyeimbang beban terpisah untuk subnet keamanan.

  • Perlu diingat bahwa Application Load Balancer adalah penyeimbang beban yang menghadap ke internet, meskipun subnet endpoint tidak memiliki akses internet langsung. Tidak ada gateway internet pada titik akhir tabel Route A dan titik akhir tabel Route B dalam diagram dari arsitektur zona Perimeter berdasarkan bagian Network Firewall dari panduan ini. Subnet dilindungi oleh Network Firewall dan memiliki akses internet melalui Network Firewall.

  • Gunakan Network Firewall untuk menyediakan penyaringan web masuk dan keluar untuk lalu lintas web yang tidak terenkripsi.