Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Gruppi di sicurezza e rete ACLs (BP5)
Amazon Virtual Private Cloud (AmazonVPC) consente di effettuare il provisioning di una sezione logicamente isolata della Cloud AWS quale è possibile avviare AWS risorse in una rete virtuale definita dall'utente.
I gruppi di sicurezza e la rete ACLs sono simili in quanto consentono di controllare l'accesso alle AWS risorse all'interno dell'aziendaVPC. Tuttavia, i gruppi di sicurezza consentono di controllare il traffico in entrata e in uscita a livello di istanza, mentre la rete ACLs offre funzionalità simili a livello di VPC sottorete. Non sono previsti costi aggiuntivi per l'utilizzo dei gruppi di sicurezza o della rete. ACLs
È possibile scegliere se specificare i gruppi di sicurezza all'avvio di un'istanza o associare l'istanza a un gruppo di sicurezza in un secondo momento. Tutto il traffico Internet verso un gruppo di sicurezza viene negato implicitamente a meno che non si crei una regola di autorizzazione per consentire il traffico.
Ad esempio, se hai EC2 istanze Amazon dietro un Elastic Load Balancer, non è necessario che le istanze stesse siano accessibili pubblicamente e dovrebbero essere solo private. IPs È possibile invece fornire a Elastic Load Balancer l'accesso alle porte listener di destinazione richieste utilizzando una regola del gruppo di sicurezza che consente l'accesso a 0.0.0.0/0 (per evitare problemi di tracciamento della connessione, vedere la nota seguente) insieme a una Network Access Control List (NACL) sulla sottorete del gruppo di destinazione per consentire solo agli intervalli IP di Elastic Load Balancing di comunicare con le istanze. Ciò garantisce che il traffico Internet non possa comunicare direttamente con le tue EC2 istanze Amazon, il che rende più difficile per un utente malintenzionato conoscere e influenzare la tua applicazione.
Quando crei una reteACLs, puoi specificare sia le regole di autorizzazione che quelle di rifiuto. Ciò è utile se desideri negare esplicitamente determinati tipi di traffico alla tua applicazione. Ad esempio, è possibile definire indirizzi IP (come CIDR intervalli), protocolli e porte di destinazione a cui viene negato l'accesso all'intera sottorete. Se l'applicazione viene utilizzata solo per il TCP traffico, è possibile creare una regola per negare tutto il UDP traffico o viceversa. Questa opzione è utile per rispondere agli DDoS attacchi perché consente di creare regole personalizzate per mitigare l'attacco quando si conosce l'origine IPs o un'altra firma.
Se sei abbonato AWS Shield Advanced, puoi registrare gli indirizzi IP elastici come risorse protette. DDoSgli attacchi contro gli indirizzi IP elastici che sono stati registrati come risorse protette vengono rilevati più rapidamente, il che può comportare tempi di mitigazione più rapidi. Quando viene rilevato un attacco, i sistemi di DDoS mitigazione leggono la rete ACL che corrisponde all'indirizzo IP elastico mirato e la applicano ai confini della AWS rete, anziché a livello di sottorete. Ciò riduce in modo significativo il rischio di impatto derivante da una serie di attacchi a livello di infrastruttura. DDoS
Per ulteriori informazioni sulla configurazione dei gruppi di sicurezza e della rete ACLs per ottimizzare DDoS la resilienza, consulta Come prepararsi DDoS agli attacchi riducendo la superficie di attacco
Per ulteriori informazioni sull'utilizzo di Shield Advanced con indirizzi IP elastici come risorse protette, consulta la procedura di sottoscrizione a AWS Shield Advanced.
