SEC05-BP01 Creazione di livelli di rete - Framework AWS Well-Architected
Guida all'implementazioneRisorse

SEC05-BP01 Creazione di livelli di rete

Raggruppa i componenti che condividono requisiti di sensibilità in livelli per ridurre al minimo la portata potenziale dell'impatto di un accesso non autorizzato. Ad esempio, un cluster di database in un senza necessità di accesso a Internet deve essere posizionato in sottoreti senza routing da o verso Internet. Il traffico deve provenire solo dalla risorsa adiacente meno sensibile. Considera un'applicazione web che si trova dietro un sistema di bilanciamento del carico. Il tuo database non deve essere accessibile direttamente dal sistema di bilanciamento del carico. Solo il sistema logico aziendale o il server web devono avere accesso diretto al database.

Risultato desiderato: creare una rete stratificata. Le reti a livelli aiutano a raggruppare logicamente componenti di rete simili. Inoltre, riducono la portata potenziale dell'impatto di un accesso non autorizzato alla rete. Una rete adeguatamente stratificata rende più difficile l'accesso a risorse aggiuntive all'interno dell'ambiente AWS da parte di utenti non autorizzati. Oltre a proteggere i percorsi di rete interni, è necessario proteggere anche gli edge di rete, come le applicazioni web e gli endpoint API.

Anti-pattern comuni:

  • Creazione di tutte le risorse in un singolo VPC o una singola sottorete.

  • Utilizzo di gruppi di sicurezza troppo permissivi.

  • Mancato utilizzo di sottoreti.

  • Accesso diretto agli archivi di dati, come i database.

Livello di rischio associato se questa best practice non fosse adottata: elevato

Guida all'implementazione

Componenti come istanze Amazon Elastic Compute Cloud (Amazon EC2), cluster di database Amazon Relational Database Service (Amazon RDS) e funzioni AWS Lambda che condividono i requisiti di raggiungibilità possono essere segmentati in livelli formati da sottoreti. Considera la possibilità di implementare carichi di lavoro serverless, come le funzioni di Lambda, all'interno di un VPC o dietro un Amazon API Gateway. Le attività di AWS Fargate che non necessitano di accesso a Internet devono essere collocate in sottoreti prive di percorsi da o verso Internet. Questo approccio a più livelli attenua l'impatto di una configurazione a un solo livello errata che può consentire un accesso non intenzionale. Per AWS Lambda è possibile eseguire le funzioni nel proprio VPC per sfruttare i controlli basati sul VPC.

Per una connettività di rete che può includere migliaia di VPC, Account AWS e reti on-premise, è necessario utilizzare AWS Transit Gateway. Transit Gateway agisce come un hub che controlla l'instradamento del traffico tra tutte le reti collegate, che agiscono come raggi. Il traffico tra Amazon Virtual Private Cloud (Amazon VPC) e Transit Gateway rimane sulla rete privata AWS, riducendo così l'esposizione esterna a utenti non autorizzati e a potenziali problemi di sicurezza. Il peering tra regioni di Transit Gateway cripta anche il traffico interregionale, senza un singolo punto di errore o un collo di bottiglia della larghezza di banda.

Passaggi dell'implementazione

  • Utilizzare Reachability Analyzer per analizzare il percorso tra un'origine e una destinazione in base alla configurazione: Reachability Analyzer consente di automatizzare la verifica della connettività da e verso le risorse collegate al VPC. La presente analisi viene eseguita esaminando la configurazione (non vengono inviati pacchetti di rete per condurre l'analisi).

  • Utilizzare lo Strumento di analisi degli accessi alla rete Amazon VPC per identificare l'accesso di rete non intenzionale alle risorse: lo Strumento di analisi degli accessi alla rete Amazon VPC consente di specificare i requisiti di accesso alla rete e di identificare i potenziali percorsi di rete.

  • Valutare se le risorse devono trovarsi in una sottorete pubblica: non collocare le risorse nelle sottoreti pubbliche del VPC a meno che non debbano assolutamente ricevere traffico di rete in entrata da origini pubbliche.

  • Creare sottoreti nel VPC: crea sottoreti per ogni livello di rete (in gruppi che includono più zone di disponibilità) per migliorare la microsegmentazione. Verifica inoltre di aver associato le tabelle di instradamento corrette alle sottoreti per controllare l'instradamento e la connettività Internet.

  • Utilizzare AWS Firewall Manager per gestire i gruppi di sicurezza VPC: AWS Firewall Manager contribuisce a ridurre l'onere di gestione derivante dall'uso di più gruppi di sicurezza.

  • Utilizzare AWS WAF per la protezione contro le più comuni vulnerabilità del web: AWS WAF può contribuire a migliorare la sicurezza degli edge ispezionando il traffico alla ricerca di vulnerabilità web comuni, come l'iniezione SQL. Consente inoltre di limitare il traffico da indirizzi IP provenienti da determinati Paesi o aree geografiche.

  • Utilizzare Amazon CloudFront come rete di distribuzione di contenuti (CDN): Amazon CloudFront può contribuire a velocizzare l'applicazione web memorizzando i dati più vicino agli utenti. Può anche migliorare la sicurezza degli edge applicando HTTPS, limitando l'accesso ad aree geografiche e garantendo che il traffico di rete possa accedere alle risorse solo quando viene instradato attraverso CloudFront.

  • Utilizzare Amazon API Gateway per la creazione di interfacce di programmazione delle applicazioni (API): Amazon API Gateway aiuta a pubblicare, monitorare e proteggere le API REST, HTTPS e WebSocket.

Risorse

Documenti correlati:

Video correlati:

Esempi correlati: