Restringir o tráfego de saída de uma VPC - AWS Orientação prescritiva
Restringir o tráfego de saída de uma VPC usando grupos de segurançaRestringindo o tráfego de saída de uma VPC usando AWS Network Firewall nomes de host DNS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Restringir o tráfego de saída de uma VPC

Restringir o tráfego de saída de uma VPC usando grupos de segurança

Depois de avaliar os requisitos de tráfego de saída da sua arquitetura, comece a modificar as regras do grupo de segurança da sua VPC para atender às necessidades de segurança da organização. Certifique-se de adicionar todas as portas, protocolos e endereços IP de destino necessários às listas de permissão dos seus grupos de segurança.

Para obter mais informações, consulte Controlar o tráfego para recursos usando grupos de segurança no Guia do usuário da Amazon VPC.

Importante

Depois de atualizar as regras do grupo de segurança da VPC em seu ambiente de teste, certifique-se de confirmar que a aplicação ainda está operando conforme o esperado. Para obter mais informações, consulte a seção Práticas recomendadas para analisar o tráfego de saída da VPC ao usar logs de fluxo da VPC deste guia.

Principais considerações sobre grupos de segurança para serviços específicos AWS

Nuvem de computação elástica da Amazon (Amazon EC2)

Quando uma VPC é criada, ela possui um grupo de segurança padrão que permite todo o tráfego de saída. As instâncias do Amazon Elastic Compute Cloud (Amazon EC2) usam esse grupo de segurança padrão, a menos que você crie seus próprios grupos de segurança personalizados.

Importante

Para reduzir o risco de sua EC2 instância Amazon usar o grupo de segurança padrão sem querer, remova todas as regras de saída do grupo. Para obter mais informações, consulte Excluir regras de grupos de segurança na seção Trabalhar com regras de grupos de segurança no Guia do usuário da Amazon VPC.

Amazon Relational Database Service (Amazon RDS)

Todas as regras de grupo de segurança de saída para uma instância de banco de dados do Amazon RDS podem ser removidas, a menos que o banco de dados atue como um cliente. Para obter mais informações, consulte Visão geral de grupos de segurança da VPC no Guia do usuário do Amazon RDS.

Amazon ElastiCache

Todas as regras de grupos de segurança de saída para instâncias Amazon ElastiCache (Redis OSS) e Amazon ElastiCache (Memcached) podem ser removidas, a menos que a instância atue como cliente. Para obter mais informações, consulte:

Restringindo o tráfego de saída de uma VPC usando AWS Network Firewall nomes de host DNS

Quando uma aplicação usa endereços IP dinâmicos, é prática recomendada filtrar o tráfego de saída da VPC usando nomes de host de DNS em vez de endereços IP. Por exemplo, se uma aplicação estiver usando um Application Load Balancer, os endereços IP associados à aplicação mudarão porque os nós escalam continuamente. Nesse tipo de situação, é mais seguro usar nomes de host de DNS para filtrar o tráfego de rede de saída do que endereços IP estáticos.

É possível usar o AWS Network Firewall para restringir o acesso de saída da sua VPC à Internet a um conjunto de nomes de host fornecidos pelo Server Name Indication (SNI) no tráfego HTTPS.

Para obter mais informações e exemplos de regras de política do Firewall, consulte Filtragem de domínio no Guia do desenvolvedor do AWS Network Firewall . Para obter instruções detalhadas, consulte o seguinte padrão de Recomendações da AWS (APG): Usar o Network Firewall para capturar nomes de domínio de DNS do Server Name Indication (SNI) para tráfego de saída.

Observação

O SNI é uma extensão do TLS que permanece sem criptografia no fluxo de tráfego. Ele indica o nome do host de destino que um cliente está tentando acessar via HTTPS.

Importante

Depois de atualizar as regras stateful do Network Firewall em seu ambiente de teste, certifique-se de que a aplicação ainda esteja funcionando conforme o esperado. Certifique-se de que nenhum dos nomes de domínio de DNS fornecidos pelo SNI estejam bloqueados.

Exemplo de arquitetura

O diagrama a seguir mostra um exemplo de arquitetura para AWS Network Firewall filtrar o tráfego de saída de uma VPC usando nomes de host DNS:

Arquitetura de exemplo para AWS Network Firewall filtrar o tráfego de saída de uma VPC usando nomes de host DNS

O diagrama mostra o seguinte fluxo de trabalho:

  1. A solicitação de saída é proveniente da sub-rede privada e é enviada para o gateway NAT na sub-rede protegida.

  2. O tráfego HTTPS recebido pelo gateway NAT é roteado para um AWS Network Firewall endpoint na sub-rede pública.

  3. AWS Network Firewall inspeciona a solicitação e aplica as regras de política de firewall configuradas para aceitar ou recusar a solicitação de passar para o gateway da Internet.

  4. As solicitações de saída aprovadas são enviadas para o gateway da Internet.

  5. O tráfego aprovado do gateway da Internet é enviado à Internet para acessar o URL pretendido (fornecido pelo SNI no cabeçalho HTTPS não criptografado).