Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Grup keamanan dan jaringan ACLs (BP5)
Amazon Virtual Private Cloud (AmazonVPC) memungkinkan Anda untuk menyediakan bagian yang terisolasi secara logis AWS Cloud di mana Anda dapat meluncurkan AWS sumber daya di jaringan virtual yang Anda tentukan.
Grup keamanan dan jaringan ACLs serupa karena memungkinkan Anda mengontrol akses ke AWS sumber daya di dalam AndaVPC. Tetapi grup keamanan memungkinkan Anda untuk mengontrol lalu lintas masuk dan keluar pada tingkat instans, sementara jaringan ACLs menawarkan kemampuan serupa di tingkat VPC subnet. Tidak ada biaya tambahan untuk menggunakan grup keamanan atau jaringanACLs.
Anda dapat memilih apakah akan menentukan grup keamanan saat meluncurkan instance atau mengaitkan instance dengan grup keamanan di lain waktu. Semua lalu lintas internet ke grup keamanan secara implisit ditolak kecuali Anda membuat aturan izin untuk mengizinkan lalu lintas.
Misalnya, jika Anda memiliki EC2 instans Amazon di belakang Elastic Load Balancer, instans itu sendiri tidak perlu diakses publik dan hanya bersifat pribadi. IPs Sebagai gantinya, Anda dapat memberikan akses Elastic Load Balancer ke port pendengar target yang diperlukan menggunakan aturan Grup Keamanan yang memungkinkan akses ke 0.0.0.0/0 (untuk menghindari masalah pelacakan koneksi — lihat catatan di bawah) bersamaan dengan Daftar Kontrol Akses Jaringan (NACL) pada subnet grup target untuk mengizinkan hanya rentang IP Elastic Load Balancing untuk berkomunikasi dengan instance. Ini memastikan bahwa lalu lintas internet tidak dapat berkomunikasi secara langsung dengan EC2 instans Amazon Anda, yang membuatnya lebih sulit bagi penyerang untuk mempelajari dan memengaruhi aplikasi Anda.
Saat Anda membuat jaringanACLs, Anda dapat menentukan aturan izinkan dan tolak. Ini berguna jika Anda ingin secara eksplisit menolak jenis lalu lintas tertentu ke aplikasi Anda. Misalnya, Anda dapat menentukan alamat IP (sebagai CIDR rentang), protokol, dan port tujuan yang ditolak akses ke seluruh subnet. Jika aplikasi Anda hanya digunakan untuk TCP lalu lintas, Anda dapat membuat aturan untuk menolak semua UDP lalu lintas, atau sebaliknya. Opsi ini berguna saat merespons DDoS serangan karena memungkinkan Anda membuat aturan sendiri untuk mengurangi serangan ketika Anda mengetahui sumber IPs atau tanda tangan lainnya.
Jika Anda berlangganan AWS Shield Advanced, Anda dapat mendaftarkan alamat IP Elastis sebagai sumber daya yang dilindungi. DDoSserangan terhadap alamat IP Elastic yang telah terdaftar sebagai sumber daya yang dilindungi terdeteksi lebih cepat, yang dapat menghasilkan waktu yang lebih cepat untuk mengurangi. Ketika serangan terdeteksi, sistem DDoS mitigasi membaca jaringan ACL yang sesuai dengan alamat IP Elastis yang ditargetkan dan menegakkannya di perbatasan AWS jaringan, bukan di tingkat subnet. Ini secara signifikan mengurangi risiko dampak dari sejumlah DDoS serangan lapisan infrastruktur.
Untuk informasi selengkapnya tentang mengonfigurasi grup keamanan dan jaringan ACLs untuk mengoptimalkan DDoS ketahanan, lihat Cara Membantu Mempersiapkan DDoS Serangan dengan Mengurangi Permukaan Serangan Anda
Untuk informasi selengkapnya tentang penggunaan Shield Advanced dengan alamat IP Elastic sebagai sumber daya yang dilindungi, lihat langkah-langkah untuk Berlangganan AWS Shield Advanced.
