SEC05-BP01 Membuat lapisan jaringan - AWS Well-Architected Framework
Panduan implementasiSumber daya

SEC05-BP01 Membuat lapisan jaringan

Kelompokkan komponen dengan persyaratan sensitivitas yang sama ke dalam lapisan-lapisan untuk meminimalkan cakupan potensi dampak dari akses yang tidak sah. Misalnya, sebuah klaster basis data di cloud privat virtual (VPC) yang tidak memerlukan akses internet harus ditempatkan dalam subnet yang tidak memiliki rute ke atau dari internet. Lalu lintas hanya boleh mengalir dari sumber daya terdekat berikutnya yang paling tidak sensitif. Pertimbangkan aplikasi web di balik penyeimbang beban. Basis data Anda tidak boleh dapat diakses secara langsung dari penyeimbang beban. Hanya logika bisnis dan server web yang boleh memiliki akses langsung ke basis data Anda.

Hasil yang diinginkan: Membuat jaringan berlapis. Jaringan berlapis membantu mengelompokkan komponen jaringan yang serupa secara logis. Jaringan ini memperkecil potensi cakupan dampak dari akses jaringan yang tidak sah. Jaringan berlapis yang tepat mempersulit pengguna yang tidak sah untuk beralih ke sumber daya tambahan di lingkungan AWS Anda. Selain mengamankan jalur jaringan internal, Anda juga perlu melindungi edge jaringan, seperti aplikasi web dan titik akhir API.

Antipola umum:

  • Membuat semua sumber daya dalam satu VPC atau subnet.

  • Menggunakan grup keamanan yang terlalu permisif.

  • Gagal menggunakan subnet.

  • Mengizinkan akses langsung ke penyimpanan data seperti basis data.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Tinggi

Panduan implementasi

Komponen seperti instans Amazon Elastic Compute Cloud (Amazon EC2), klaster basis data Amazon Relational Database Service (Amazon RDS), dan fungsi AWS Lambda yang memiliki persyaratan keterjangkauan yang sama dapat disegmentasikan menjadi lapisan yang dibentuk oleh subnet. Pertimbangkan untuk melakukan deployment beban kerja nirserver, seperti fungsi Lambda, dalam VPC atau di balik Amazon API Gateway. Tugas AWS Fargate yang tidak memerlukan akses internet harus ditempatkan di subnet yang tidak memiliki rute ke atau dari internet. Pendekatan berlapis ini memitigasi dampak kesalahan konfigurasi satu lapisan yang dapat mengizinkan akses yang tidak diinginkan. Untuk AWS Lambda, Anda dapat menjalankan fungsi di VPC untuk memanfaatkan kontrol berbasis VPC.

Untuk konektivitas jaringan yang dapat mencakup ribuan VPC, Akun AWS, dan jaringan on-premise, Anda harus menggunakan AWS Transit Gateway. Transit Gateway bertindak sebagai hub yang mengontrol cara perutean lalu lintas di antara semua jaringan yang terhubung, yang bertindak seperti jari-jari roda. Lalu lintas antara Amazon Virtual Private Cloud (Amazon VPC) dan Transit Gateway tetap berada dalam jaringan privat AWS, sehingga mengurangi paparan eksternal terkait pengguna yang tidak sah dan potensi masalah keamanan. Peering Antarwilayah Transit Gateway juga mengenkripsi lalu lintas Antarwilayah tanpa titik kegagalan tunggal atau hambatan bandwidth.

Langkah implementasi

  • Gunakan Reachability Analyzer untuk menganalisis jalur antara sumber dan tujuan berdasarkan konfigurasi: Reachability Analyzer memungkinkan Anda untuk mengotomatiskan verifikasi konektivitas ke dan dari sumber daya yang terhubung ke VPC. Perhatikan bahwa analisis ini dilakukan dengan meninjau konfigurasi (tidak ada paket jaringan yang dikirimkan dalam menjalankan analisis ini).

  • Gunakan Penganalisis Akses Jaringan Amazon VPC untuk mengidentifikasi akses jaringan yang tidak diinginkan ke sumber daya: Penganalisis Akses Jaringan Amazon VPC memungkinkan Anda untuk menentukan persyaratan akses jaringan dan mengidentifikasi jalur jaringan potensial.

  • Pertimbangkan apakah sumber daya harus ada di subnet publik: Jangan menempatkan sumber daya di subnet publik VPC Anda kecuali sumber daya benar-benar harus menerima lalu lintas jaringan masuk dari sumber publik.

  • Buat subnet di VPC Anda: Buat subnet untuk setiap lapisan jaringan (dalam grup yang menyertakan beberapa Zona Ketersediaan) untuk meningkatkan segmentasi mikro. Selain itu, pastikan Anda telah mengaitkan tabel rute yang benar ke subnet Anda untuk mengontrol perutean dan konektivitas internet.

  • Gunakan AWS Firewall Manager untuk mengelola grup keamanan VPC Anda: AWS Firewall Manager membantu mengurangi beban manajemen dalam penggunaan beberapa grup keamanan.

  • Gunakan AWS WAF untuk melindungi dari kerentanan web umum: AWS WAF dapat membantu meningkatkan keamanan edge dengan memeriksa lalu lintas untuk kerentanan web umum, misalnya injeksi SQL. Layanan ini juga dapat Anda gunakan untuk membatasi alamat IP yang berasal dari negara atau lokasi geografis tertentu.

  • Gunakan Amazon CloudFront sebagai jaringan distribusi konten (CDN): Amazon CloudFront dapat membantu mempercepat aplikasi web dengan menyimpan data lebih dekat ke pengguna. Hal ini juga meningkatkan keamanan edge dengan menerapkan HTTPS, membatasi akses ke area geografis, dan memastikan bahwa lalu lintas jaringan hanya dapat mengakses sumber daya saat dirutekan melalui CloudFront.

  • Gunakan Amazon API Gateway saat membuat antarmuka pemrograman aplikasi (API): Amazon API Gateway membantu menerbitkan, memantau, dan mengamankan API WebSocket, HTTPS, dan REST.

Sumber daya

Dokumen terkait:

Video terkait:

Contoh terkait: