Restringindo o tráfego VPC de saída de um usando grupos de segurança Restringindo o tráfego VPC de saída de um usando AWS Network Firewall nomes de host DNS

Restringindo o tráfego de saída VPC de um

Restringindo o tráfego VPC de saída de um usando grupos de segurança

Depois de avaliar os requisitos de tráfego de saída da sua arquitetura, comece a modificar as regras VPC do grupo de segurança para atender às necessidades de segurança da sua organização. Certifique-se de adicionar todas as portas, protocolos e endereços IP de destino necessários às listas de permissão dos seus grupos de segurança.

Para obter instruções, consulte Controle o tráfego para recursos usando grupos de segurança no Guia VPC do usuário da Amazon.

Importante

Depois de atualizar as regras VPC do seu grupo de segurança em seu ambiente de teste, certifique-se de confirmar que seu aplicativo ainda está operando conforme o esperado. Para obter mais informações, consulte a seção Práticas recomendadas para analisar seu VPC tráfego de saída ao usar registros de VPC fluxo deste guia.

Principais considerações sobre grupos de segurança para serviços específicos AWS

Nuvem de computação elástica da Amazon (AmazonEC2)

Quando você cria umVPC, ele vem com um grupo de segurança padrão que permite todo o tráfego de saída. As instâncias do Amazon Elastic Compute Cloud (AmazonEC2) usam esse grupo de segurança padrão, a menos que você crie seus próprios grupos de segurança personalizados.

Importante

Para reduzir o risco de sua EC2 instância Amazon usar o grupo de segurança padrão sem querer, remova todas as regras de saída do grupo. Para obter mais informações, consulte Excluir regras de grupos de segurança na seção Trabalhar com regras de grupos de segurança do Guia VPC do usuário da Amazon.

Amazon Relational Database Service (AmazonRDS)

Todas as regras de grupo de segurança de saída para uma RDS instância de banco de dados da Amazon podem ser removidas, a menos que o banco de dados atue como um cliente. Para obter mais informações, consulte Visão geral dos grupos de VPC segurança no Guia RDS do usuário da Amazon.

Amazon ElastiCache

Todas as regras de grupos de segurança de saída para instâncias Amazon ElastiCache (RedisOSS) e Amazon ElastiCache (Memcached) podem ser removidas, a menos que a instância atue como cliente. Para obter mais informações, consulte as informações a seguir.

Grupos de segurança: EC2 -Classic (Guia do usuário do Amazon ElastiCache (RedisOSS))
Understanding ElastiCache and Amazon VPCs (Guia do usuário do Amazon ElastiCache (Memcached))

Restringindo o tráfego VPC de saída de um usando AWS Network Firewall nomes de host DNS

Quando um aplicativo usa endereços IP dinâmicos, é uma prática recomendada filtrar o tráfego VPC de saída usando DNS nomes de host em vez de endereços IP. Por exemplo, se uma aplicação estiver usando um Application Load Balancer, os endereços IP associados à aplicação mudarão porque os nós escalam continuamente. Nesse tipo de situação, é mais seguro usar DNS nomes de host para filtrar o tráfego de rede de saída do que endereços IP estáticos.

Você pode usar AWS Network Firewallpara restringir seu acesso VPC de saída à Internet a um conjunto de nomes de host fornecidos pela Indicação de Nome do Servidor (SNI) no HTTPS tráfego.

Para obter mais informações e exemplos de regras de política do Firewall, consulte Filtragem de domínio no Guia do desenvolvedor do AWS Network Firewall . Para obter instruções detalhadas, consulte o seguinte padrão de Orientação AWS Prescritiva (APG): Use o Firewall de Rede para capturar os nomes de DNS domínio da Indicação de Nome do Servidor (SNI) para tráfego de saída.

Observação

SNIé uma extensão TLS que permanece não criptografada no fluxo de tráfego. Indica o nome do host de destino pelo qual o cliente está tentando acessar. HTTPS

Importante

Depois de atualizar as regras stateful do Network Firewall em seu ambiente de teste, certifique-se de que a aplicação ainda esteja funcionando conforme o esperado. Certifique-se de que nenhum dos nomes de DNS domínio necessários fornecidos pelo SNI esteja bloqueado.

Exemplo de arquitetura

O diagrama a seguir mostra um exemplo de arquitetura para AWS Network Firewall filtrar o tráfego VPC de saída de um usando nomes de DNS host:

Arquitetura de exemplo para usar AWS Network Firewall para filtrar o tráfego VPC de saída de um usando DNS nomes de host

O diagrama mostra o seguinte fluxo de trabalho:

A solicitação de saída se origina na sub-rede privada e é enviada ao NAT gateway na sub-rede protegida.
O HTTPS tráfego recebido pelo NAT gateway é roteado para um AWS Network Firewall endpoint na sub-rede pública.
AWS Network Firewall inspeciona a solicitação e aplica as regras de política de firewall configuradas para aceitar ou recusar a solicitação de passar para o gateway da Internet.
As solicitações de saída aprovadas são enviadas para o gateway da Internet.
O tráfego aprovado do gateway da Internet é enviado à Internet para acessar o pretendido URL (fornecido SNI no HTTPS cabeçalho não criptografado).

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Como determinar os requisitos de segurança da sua VPC

Acesso a recursos da AWS