Privasi lalu lintas antar jaringan di Amazon VPC

Amazon Virtual Private Cloud menyediakan fitur yang dapat Anda gunakan untuk meningkatkan dan memantau keamanan untuk virtual private cloud (VPC) Anda:

• Grup keamanan: Grup keamanan mengizinkan atau menolak lalu lintas masuk dan keluar tertentu di tingkat sumber daya (seperti instans EC2). Saat Anda meluncurkan instans, Anda dapat mengaitkannya dengan satu atau beberapa grup keamanan. Setiap instans di VPC Anda bisa menjadi milik grup keamanan yang berbeda. Jika Anda tidak menentukan grup keamanan saat meluncurkan instans, maka instans Anda secara otomatis akan dikaitkan dengan grup keamanan default untuk VPC-nya. Untuk informasi selengkapnya, lihat Mengontrol lalu lintas ke sumber daya menggunakan grup keamanan.

• Daftar kontrol akses jaringan (ACL): ACL jaringan memungkinkan atau menolak lalu lintas masuk dan keluar tertentu di tingkat subnet. Untuk informasi selengkapnya, lihat Mengontrol lalu lintas ke subnet menggunakan Network ACL.

• Log alur: Log alur menangkap informasi tentang lalu lintas IP ke dan dari antarmuka jaringan di VPC Anda. Anda dapat membuat log alur untuk VPC, subnet, atau antarmuka jaringan individu. Data log aliran dipublikasikan ke CloudWatch Log atau Amazon S3, dan dapat membantu Anda mendiagnosis grup keamanan dan aturan ACL jaringan yang terlalu ketat atau terlalu longgar. Untuk informasi selengkapnya, lihat Logging lalu lintas IP menggunakan VPC Flow Logs.

• Mirroring lalu lintas: Anda dapat menyalin lalu lintas jaringan dari elastic network interface dari Amazon EC2. Anda kemudian dapat mengirim lalu lintas ke out-of-band keamanan dan pemantauan peralatan. Untuk informasi lebih lanjut, lihat Panduan Mirroring Lalu Lintas.

Anda dapat menggunakan AWS Identity and Access Management (IAM) untuk mengontrol siapa di organisasi Anda memiliki izin untuk membuat dan mengelola grup keamanan, ACL jaringan, dan log alur. Misalnya, Anda dapat memberikan izin kepada administrator jaringan Anda, tetapi tidak memberikan izin kepada personil yang hanya perlu meluncurkan instans. Untuk informasi selengkapnya, lihat Identity and access management untuk Amazon VPC.

Grup keamanan Amazon tidak mem-filter lalu lintas yang dituju ke dan dari yang berikut:

• Layanan Nama Domain Amazon (DNS)

• Protokol Konfigurasi Host Dinamis (DHCP)

• Metadata instans Amazon EC2

• Titik akhir metadata tugas Amazon

• Aktivasi lisensi untuk instance Windows

• Amazon Time Sync Service

• Alamat IP yang dipesan oleh router VPC default

Membandingkan grup keamanan dan ACL jaringan

Tabel berikut merangkum dasar perbedaan antara grup keamanan dan ACL jaringan.

Grup keamanan	ACL Jaringan
Beroperasi pada tingkat instans	Beroperasi pada tingkat subnet
Mendukung hanya mengizinkan aturan	Mendukung mengizinkan aturan dan menolak aturan
Stateful Lalu lintas kembali secara otomatis, terlepas dari aturan	Apakah stateless: Lalu lintas kembali harus secara eksplisit diizinkan oleh aturan
Kami mengevaluasi semua aturan sebelum memutuskan apakah akan mengizinkan lalu lintas	Kami mengevaluasi aturan secara berurutan, dimulai dengan aturan bernomor terendah, ketika memutuskan apakah akan mengizinkan lalu lintas
Berlaku untuk sebuah instans hanya jika seseorang menentukan grup keamanan ketika meluncurkan instans, atau mengaitkan grup keamanan dengan instans di lain waktu	Secara otomatis berlaku untuk semua instans di subnet yang terkait dengannya (oleh karena itu, menyediakan lapisan pertahanan tambahan jika aturan grup keamanan terlalu longgar)

Diagram berikut menggambarkan lapisan keamanan yang disediakan oleh grup keamanan dan ACL jaringan. Sebagai contoh, lalu lintas dari gateway internet dirutekan ke subnet yang sesuai menggunakan rute dalam tabel perutean. Aturan ACL jaringan yang terkait dengan kontrol subnet yang lalu lintas diperbolehkan untuk subnet. Aturan grup keamanan yang terkait dengan kontrol instans yang lalu lintasnya diizinkan untuk instans tersebut.

Anda dapat mengamankan instans Anda hanya menggunakan grup keamanan. Namun, Anda dapat menambahkan ACL jaringan sebagai lapisan pertahanan tambahan. Sebagai contoh, lihat Contoh: Kontrol akses ke instans dalam subnet.