Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Sicurezza dell'infrastruttura in Amazon VPC
In quanto servizio gestito, Amazon Virtual Private Cloud è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta AWS Cloud Security
Utilizzi chiamate API AWS pubblicate per accedere ad Amazon VPC attraverso la rete. I client devono supportare quanto segue:
-
Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
-
Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
Inoltre, le richieste devono essere firmate utilizzando un ID chiave di accesso e una chiave di accesso segreta associata a un principale IAM. O puoi utilizzare AWS Security Token Service (AWS STS) per generare credenziali di sicurezza temporanee per sottoscrivere le richieste.
Isolamento della rete
Un cloud privato virtuale (VPC) è una rete virtuale nella propria area logicamente isolata nel cloud. AWS Utilizza VPC separati per isolare l'infrastruttura in base a carico di lavoro o entità dell'organizzazione.
Una sottorete è un intervallo di indirizzi IP in un VPC. Quando avvii un'istanza, questa operazione viene eseguita in una sottorete nel VPC. Utilizza sottoreti per isolare i livelli dell'applicazione (ad esempio, web, applicazione e database) all'interno di un singolo VPC. Utilizza sottoreti private per le istanze se non devono essere accessibili direttamente da Internet.
Puoi utilizzarlo AWS PrivateLinkper abilitare la connessione alle risorse del tuo VPC Servizi AWS utilizzando indirizzi IP privati, come se tali servizi fossero ospitati direttamente nel tuo VPC. Pertanto, non è necessario utilizzare un gateway Internet o un dispositivo NAT per accedere. Servizi AWS
Controllo del traffico di rete
Valuta le opzioni seguenti per il controllo del traffico di rete verso le risorse nel VPC, come le istanze EC2:
Sfrutta i gruppi di sicurezza come meccanismo principale per controllare l'accesso della rete ai VPC. Se necessario, utilizza le liste di controllo degli accessi alla rete (ACL di rete) per fornire un controllo di rete stateless non granulare. I gruppi di sicurezza sono più versatili delle ACL di rete grazie alla loro capacità di eseguire il filtro dei pacchetti stateful e di creare regole che fanno riferimento ad altri gruppi di sicurezza. Le ACL di rete possono essere efficaci come controllo secondario (ad esempio, per rifiutare un sottoinsieme specifico di traffico) o per fornire alla sottorete una protezione di alto livello. Inoltre, poiché gli ACL di rete si applicano a un'intera sottorete, possono essere utilizzati come defense-in-depth nel caso in cui un'istanza venga avviata senza il gruppo di sicurezza corretto.
Utilizza sottoreti private per le istanze se non devono essere accessibili direttamente da Internet. Utilizza un host bastione o gateway NAT per l'accesso a Internet dalle istanze nelle sottoreti private.
Configura le tabelle di instradamento della sottorete con i percorsi di rete minimi per supportare i tuoi requisiti di connettività.
Prendi in considerazione l'utilizzo di gruppi di sicurezza aggiuntivi per controllare e verificare il traffico di gestione delle istanze Amazon EC2 separatamente dal normale traffico delle applicazioni. Pertanto, puoi implementare policy IAM speciali per il controllo delle modifiche, semplificando l'audit delle modifiche apportate alle regole dei gruppi di sicurezza o agli script di verifica automatica delle regole. Più interfacce di rete forniscono inoltre opzioni aggiuntive per il controllo del traffico di rete, inclusa la possibilità di creare policy di instradamento basate su host o sfruttare diverse regole di instradamento delle sottoreti VPC basate sulle interfacce di rete assegnate a una sottorete.
-
Utilizza AWS Virtual Private Network o AWS Direct Connect per stabilire connessioni private dalle tue reti remote ai tuoi VPC. Per ulteriori informazioni, consulta Opzioni di connettività tra rete e Amazon VPC.
-
Utilizza Log di flusso VPC per monitorare il traffico che raggiunge le istanze.
-
Utilizza AWS Security Hub
per verificare accessibilità di rete indesiderata dalle istanze. -
Utilizza AWS Network Firewall per proteggere le sottoreti del VPC dalle minacce di rete comuni.
Confronto dei gruppi di sicurezza e delle liste di controllo accessi di rete
Nella tabella seguente vengono riepilogate le differenze basilari tra i gruppi di sicurezza e le liste di controllo accessi di rete.
| Gruppo di sicurezza | Lista di controllo degli accessi di rete |
|---|---|
| Opera a livello di istanza. | Opera a livello di sottorete. |
| Si applica a un'istanza solo se è associata all'istanza | Si applica a tutte le istanze distribuite nella sottorete associata (fornendo un livello di difesa supplementare se le regole del gruppo di sicurezza sono troppo permissive) |
| Supporta solo le regole Consenti. | Supporta le regole Consenti e Nega. |
| Valuta tutte le regole prima di decidere se consentire il traffico. | Quando decidiamo se consentire il traffico, valutiamo le regole in un certo ordine, a partire dalla regola numerata più bassa. |
| Stateful: il traffico di ritorno è consentito, a prescindere dalle regole | Stateless: il traffico di ritorno deve essere consentito esplicitamente dalle regole. |
Nel diagramma seguente sono illustrati i livelli di sicurezza forniti dai gruppi di sicurezza e dalle liste di controllo accessi di rete. Ad esempio, il traffico da un Internet Gateway viene instradato alla sottorete appropriata utilizzando le route nella tabella di instradamento. Le regole delle liste di controllo accessi di rete associate alla sottorete determinano quale traffico è consentito alla sottorete. Le regole del gruppo di sicurezza associato a un'istanza determinano quale traffico è consentito all'istanza.
È possibile proteggere le istanze utilizzando solo gruppi di sicurezza. Tuttavia, è possibile aggiungere le liste di controllo degli accessi di rete come ulteriore livello di difesa. Per ulteriori informazioni, consulta Esempio: controllo dell'accesso alle istanze in una sottorete.
