Limitazione del traffico in uscita di un VPC - AWS Guida prescrittiva
Limitazione del traffico in uscita di un VPC utilizzando gruppi di sicurezzaLimitazione del traffico in uscita di un VPC utilizzando nomi host DNS AWS Network Firewall

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Limitazione del traffico in uscita di un VPC

Limitazione del traffico in uscita di un VPC utilizzando gruppi di sicurezza

Dopo aver valutato i requisiti del traffico in uscita della tua architettura, inizia a modificare le regole del gruppo di sicurezza del VPC per soddisfare le esigenze di sicurezza della tua organizzazione. Assicurati di aggiungere tutte le porte, i protocolli e gli indirizzi IP di destinazione necessari agli elenchi consentiti dei tuoi gruppi di sicurezza.

Per le istruzioni, consulta la sezione Controlla il traffico verso le risorse utilizzando gruppi di sicurezza nella Guida per l'utente di Amazon VPC.

Importante

Dopo aver aggiornato le regole del gruppo di sicurezza del VPC nell'ambiente di test, assicurati di confermare che l'applicazione funzioni ancora come previsto. Per ulteriori informazioni, consulta la sezione Best practice per analizzare il traffico in uscita del VPC durante l'utilizzo dei log di flusso VPC di questa guida.

Considerazioni chiave sui gruppi di sicurezza per servizi specifici AWS

Amazon Elastic Compute Cloud (Amazon EC2)

Al momento della creazione di un VPC, questo include un gruppo di sicurezza di default che consente tutto il traffico in uscita. Le istanze Amazon Elastic Compute Cloud (Amazon EC2) utilizzano questo gruppo di sicurezza predefinito a meno che tu non crei gruppi di sicurezza personalizzati.

Importante

Per mitigare il rischio che la tua EC2 istanza Amazon utilizzi involontariamente il gruppo di sicurezza predefinito, rimuovi tutte le regole in uscita del gruppo. Per ulteriori informazioni, consulta Eliminazione delle regole dei gruppi di sicurezza nella sezione Utilizzo delle regole dei gruppi di sicurezza della Guida per l'utente di Amazon VPC.

Amazon Relational Database Service (Amazon RDS)

Tutte le regole del gruppo di sicurezza in uscita per un'istanza DB di Amazon RDS possono essere rimosse a meno che il database non funga da client. Per ulteriori informazioni, consulta la sezione Panoramica dei gruppi di sicurezza VPC nella Guida per l'utente di Amazon RDS.

Amazon ElastiCache

Tutte le regole del gruppo di sicurezza in uscita per le istanze Amazon ElastiCache (Redis OSS) e Amazon ElastiCache (Memcached) possono essere rimosse a meno che l'istanza non funga da client. Per ulteriori informazioni, consulta gli argomenti seguenti:

Limitazione del traffico in uscita di un VPC utilizzando nomi host DNS AWS Network Firewall

Quando un'applicazione utilizza indirizzi IP dinamici, è consigliabile filtrare il traffico in uscita del VPC utilizzando i nomi host DNS anziché gli indirizzi IP. Ad esempio, se un'applicazione utilizza un Application Load Balancer, gli indirizzi IP associati all'applicazione cambieranno perché i nodi si dimensionano continuamente. In questo tipo di situazione, è più sicuro utilizzare i nomi host DNS per filtrare il traffico di rete in uscita rispetto agli indirizzi IP statici.

Puoi utilizzare AWS Network Firewall per limitare l'accesso a Internet in uscita del tuo VPC a un set di nomi host forniti da Server Name Indication (SNI) nel traffico HTTPS.

Per ulteriori informazioni ed esempi di regole della policy Network Firewall, consulta la sezione Filtraggio dei domini nella Guida per gli sviluppatori di AWS Network Firewall . Per istruzioni dettagliate, consulta il seguente modello di Prontuario AWS (APG): Utilizzo di Network Firewall per acquisire i nomi di dominio DNS da Server Name Indication (SNI) per il traffico in uscita.

Nota

SNI è un'estensione del TLS che rimane non crittografata nel flusso di traffico. Indica il nome host di destinazione a cui un client sta tentando di accedere tramite HTTPS.

Importante

Dopo aver aggiornato le regole stateful di Network Firewall nell'ambiente di test, assicurati che l'applicazione funzioni ancora come previsto. Assicurati che nessuno dei nomi di dominio DNS necessari forniti da SNI sia bloccato.

Esempio di architettura

Il diagramma seguente mostra un'architettura di esempio da utilizzare per AWS Network Firewall filtrare il traffico in uscita di un VPC utilizzando nomi di host DNS:

Architettura di esempio da utilizzare per AWS Network Firewall filtrare il traffico in uscita di un VPC utilizzando nomi di host DNS

Il diagramma mostra il flusso di lavoro seguente:

  1. La richiesta in uscita ha origine nella sottorete privata e viene inviata al gateway NAT nella sottorete protetta.

  2. Il traffico HTTPS ricevuto dal gateway NAT viene indirizzato a un AWS Network Firewall endpoint nella sottorete pubblica.

  3. AWS Network Firewall esamina la richiesta e applica le regole di policy del firewall configurate per accettare o rifiutare la richiesta da passare al gateway Internet.

  4. Le richieste in uscita approvate vengono inviate al gateway Internet.

  5. Il traffico approvato dal gateway Internet viene inviato a Internet per accedere all'URL previsto (fornito da SNI nell'intestazione HTTPS non crittografata).