Configurazione di rete
Con Amazon Virtual Private Cloud (Amazon VPC), è possibile effettuare il provisioning di una sezione logicamente isolata di Cloud AWS dedicata al proprio account. Disponi del controllo completo dell'ambiente di rete virtuale, che include la selezione di una gamma di indirizzi IP, la creazione di sottoreti, le impostazioni di sicurezza e la configurazione di tabelle di routing e gateway di rete.
Una sottorete è un intervallo di indirizzi IP in Amazon VPC. È possibile avviare le risorse AWS in una sottorete selezionata. Utilizza una sottorete pubblica per le risorse che devono essere connesse a Internet e una sottorete privata per le risorse da non connettere a Internet.
Per proteggere le risorse AWS in ciascuna sottorete, è possibile usare diversi livelli di sicurezza, compresi gruppi di sicurezza e liste di controllo accessi alla rete.
Nella tabella seguente vengono riepilogate le differenze basilari tra i gruppi di sicurezza e le liste di controllo accessi di rete.
| Gruppo di sicurezza | Lista di controllo degli accessi di rete |
|---|---|
| Funziona a livello di istanza (primo livello di sicurezza) | Funziona a livello di sottorete (secondo livello di sicurezza) |
| Supporta solo le regole allow. | Supporta le regole allow e deny. |
| Con stato: il traffico di ritorno è automaticamente consentito, indipendentemente dalle regole. | Senza stato: il traffico di ritorno deve essere consentito in modo esplicito dalle regole. |
| Valuta tutte le regole prima di decidere se consentire il traffico. | Elabora le regole in base all'ordine numerico quando deve decidere se consentire il traffico. |
| Si applica a un'istanza solo se qualcuno specifica il gruppo di sicurezza all'avvio dell'istanza o associa il gruppo di sicurezza all'istanza in seguito. | Si applica automaticamente a tutte le istanze nella sottorete a cui è associata (livello di sicurezza di backup, in modo che non sia necessario fare affidamento su qualcuno che specifichi il gruppo di sicurezza) |
Amazon VPC offre isolamento, sicurezza aggiuntiva e la possibilità di separare le istanze Amazon EC2 in sottoreti e consente l'uso di indirizzi IP privati. Tutti questi elementi sono importanti nell'implementazione del database.
Implementare l'istanza del database Oracle in una sottorete privata e consentire solo ai server delle applicazioni all'interno di Amazon VPC o a un bastion host all'interno di Amazon VPC di accedere all'istanza di database.
Creare gruppi di sicurezza appropriati che consentano l'accesso solo a indirizzi IP specifici attraverso le porte designate. Questi suggerimenti si applicano al database Oracle indipendentemente dal fatto che si stia utilizzando Amazon RDS o Amazon EC2.
Database Oracle nella sottorete privata di un Amazon VPC
