Riservatezza del traffico Internet in Amazon VPC - Amazon Virtual Private Cloud

Riservatezza del traffico Internet in Amazon VPC

Amazon Virtual Private Cloud fornisce caratteristiche che puoi utilizzare per aumentare e monitorare la sicurezza del tuo virtual private cloud (VPC):

  • Gruppi di sicurezza: i gruppi di sicurezza consentono o negano traffico specifico in entrata e in uscita a livello di risorsa (ad esempio un'istanza EC2). Quando avvii un'istanza, puoi associare tale istanza a uno o più gruppi di sicurezza. Ogni istanza nel VPC può appartenere a un set differente di gruppi di sicurezza. Se non specifichi un gruppo di sicurezza quando avvii un'istanza, questa viene automaticamente associata al gruppo di sicurezza predefinito per il VPC. Per ulteriori informazioni, consultare Controlla il traffico verso le risorse utilizzando gruppi di sicurezza.

  • Lista di controllo degli accessi (ACL): le liste di controllo degli accessi di rete permettono o negano traffico in entrata e in uscita specifico a livello di sottorete. Per ulteriori informazioni, consultare Controllare il traffico verso le sottoreti utilizzando le liste di controllo degli accessi di rete.

  • Log di flusso: i log di flusso VPC acquisiscono informazioni sul traffico IP da e verso le interfacce di rete nel VPC. È possibile creare un log di flusso per un VPC, una sottorete o un'interfaccia di rete singola. I dati del log di flusso sono pubblicati su CloudWatch Logs o Amazon S3 e possono aiutarti a diagnosticare regole di liste di controllo accessi di rete e di gruppi di sicurezza troppo restrittive o troppo permissive. Per ulteriori informazioni, consulta Registrazione del traffico IP utilizzando VPC Flow Logs.

  • Mirroring del traffico: puoi copiare il traffico di rete da un'interfaccia di rete elastica di un'istanza Amazon EC2. È quindi possibile inviare il traffico a dispositivi di sicurezza e monitoraggio fuori banda. Per ulteriori informazioni, vedere la Guida al mirroring del traffico.

Puoi utilizzare AWS Identity and Access Management (IAM) per determinare chi nella tua organizzazione è autorizzato a creare e gestire gruppi di sicurezza, liste di controllo accessi di rete e log di flusso. Ad esempio, puoi concedere quell'autorizzazione agli amministratori della rete ma non al personale che deve soltanto avviare le istanze. Per ulteriori informazioni, consultare Identity and Access Management per Amazon VPC.

I gruppi di sicurezza di Amazon e le ACL di rete non filtrano il traffico destinato a e da i seguenti:

  • Amazon Domain Name Services (DNS)

  • Amazon Dynamic Host Configuration Protocol (DHCP)

  • Metadati delle istanze Amazon EC2.

  • Endpoint di metadati dei processi Amazon ECS

  • Attivazione della licenza per le istanze Windows

  • Amazon Time Sync Service

  • Indirizzi IP riservati utilizzati dal router VPC predefinito

Confronto dei gruppi di sicurezza e delle liste di controllo accessi di rete

Nella tabella seguente vengono riepilogate le differenze basilari tra i gruppi di sicurezza e le liste di controllo accessi di rete.

Gruppo di sicurezza Lista di controllo degli accessi di rete
Opera a livello di istanza. Opera a livello di sottorete.
Si applica a un'istanza solo se è associata all'istanza Si applica a tutte le istanze distribuite nella sottorete associata (fornendo un livello di difesa supplementare se le regole del gruppo di sicurezza sono troppo permissive)
Supporta solo le regole Consenti. Supporta le regole Consenti e Nega.
Valutiamo tutte le regole prima di decidere se consentire il traffico. Valutiamo le regole in ordine, a partire dalla regola numerata più bassa, quando decidiamo se consentire il traffico
Stateful: il traffico di ritorno è consentito, a prescindere dalle regole Stateless: il traffico di ritorno deve essere consentito esplicitamente dalle regole.

Nel diagramma seguente sono illustrati i livelli di sicurezza forniti dai gruppi di sicurezza e dalle liste di controllo accessi di rete. Ad esempio, il traffico da un Internet Gateway viene instradato alla sottorete appropriata utilizzando le route nella tabella di routing. Le regole delle liste di controllo accessi di rete associate alla sottorete determinano quale traffico è consentito alla sottorete. Le regole del gruppo di sicurezza associato a un'istanza determinano quale traffico è consentito all'istanza.


        Il traffico viene controllato tramite gruppi di sicurezza e liste di controllo degli accessi di rete

È possibile proteggere le istanze utilizzando solo gruppi di sicurezza. Tuttavia, è possibile aggiungere le liste di controllo degli accessi di rete come ulteriore livello di difesa. Per un esempio, consulta Esempio: controllo dell'accesso alle istanze in una sottorete.