UO de infraestrutura — Conta de rede - AWSOrientação da prescrição

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

UO de infraestrutura — Conta de rede

O diagrama a seguir ilustra oAWSserviços de segurança configurados na conta Network.


        Security services for Network account

A conta Network gerencia o gateway entre o seu aplicativo e a Internet mais ampla. É importante proteger essa interface bidirecional. A conta de rede isola os serviços de rede, a configuração e a operação das cargas de trabalho de aplicativos individuais, segurança e outras infraestruturas. Esse arranjo não apenas limita a conectividade, as permissões e o fluxo de dados, mas também suporta a separação de tarefas e o menor privilégio para as equipes que precisam operar nessas contas. Ao dividir o fluxo de rede em nuvens privadas virtuais (VPCs) de entrada e saída separadas, você pode proteger a infraestrutura e o tráfego confidenciais contra o acesso indesejado. A rede de entrada geralmente é considerada de maior risco e merece roteamento, monitoramento e possíveis atenuações de problemas adequados. Essas contas de infraestrutura herdarão guardrails de permissão da conta de Gerenciamento da organização e da UO de infraestrutura. As equipes de rede (e segurança) gerenciarão a maior parte da infraestrutura aqui.

Arquitetura de rede

Embora o design e as especificidades da rede estejam além do escopo deste documento, recomendamos essas três opções para conectividade de rede entre as várias contas: Emparelhamento de VPC,AWS PrivateLink, eAWS Transit Gateway. Considerações importantes na escolha entre elas são normas operacionais, orçamentos e necessidades específicas de largura de banda.

  • Emparelhamento de VPC— A maneira mais simples de conectar duas VPCs é usar peering de VPC. Uma conexão permite conectividade bidirecional total entre as VPCs. VPCs entre contas eAWSAs regiões também podem ser emparelhadas juntas. Em escala, quando você tem dezenas a centenas de VPCs, interconectá-las com peering resulta em uma malha de centenas a milhares de conexões de peering, o que pode ser um desafio de gerenciar e dimensionar. O peering de VPC é melhor usado quando os recursos em uma VPC devem se comunicar com recursos em outra VPC, o ambiente de ambas as VPCs é controlado e protegido e o número de VPCs a serem conectadas é menor que 10 (para permitir o gerenciamento individual de cada conexão).

  • AWS PrivateLink–AWS PrivateLinkO fornece conectividade privada entre VPCs, serviços e aplicativos. Você pode criar seu próprio aplicativo na sua VPC e configurá-lo como um serviço habilitado pelo AWS PrivateLink (conhecido como serviço de endpoint). Other (Outros)AWSAs entidades principais da podem criar uma conexão da VPC ao seu serviço de endpoint usando umVPC endpoint de interfaceou umEndpoint do Gateway Load BalancerDe acordo com o tipo de serviço. Quando você usaAWS PrivateLink, o tráfego de serviço não passa por uma rede publicamente roteável. Usar oAWS PrivateLinkquando você tem uma configuração cliente-servidor na qual deseja dar a uma ou mais VPCs do consumidor acesso unidirecional a um serviço específico ou conjunto de instâncias na VPC do provedor de serviços. Essa também é uma boa opção quando clientes e servidores nas duas VPCs têm endereços IP sobrepostos, porqueAWS PrivateLinkusa interfaces de rede elásticas dentro da VPC cliente para que não haja conflitos de IP com o provedor de serviços.

  • AWS Transit Gateway–AWS Transit GatewayO fornece um hub-and-spoke projeto para conectar VPCs e redes locais como um serviço totalmente gerenciado sem exigir o provisionamento de dispositivos virtuais.AWSgerencia alta disponibilidade e escalabilidade. Um gateway de trânsito é um recurso regional e pode conectar milhares de VPCs dentro do mesmoAWSRegião : Você pode anexar toda a sua conectividade híbrida (VPN eAWS Direct Connectconexões) a um único gateway de trânsito, consolidando e controlando assim oAWStoda a configuração de roteamento da organização em um só lugar. Um gateway de trânsito resolve a complexidade envolvida na criação e gerenciamento de várias conexões de peering de VPC em escala. É um bom padrão para a maioria das arquiteturas de rede, mas necessidades específicas de custo, largura de banda e latência podem tornar o peering de VPC um melhor ajuste para suas necessidades.

VPC de entrada (entrada)

A VPC de entrada destina-se a aceitar, inspecionar e rotear conexões de rede iniciadas fora do aplicativo. Dependendo dos detalhes do aplicativo, esperamos ver alguma tradução de endereços de rede (NAT) nesta VPC. Os logs de fluxo desta VPC são capturados e armazenados na conta do Log Archive.

VPC de saída (saída)

A VPC de saída destina-se a lidar com conexões de rede iniciadas a partir do aplicativo. Dependendo dos detalhes do aplicativo, esperamos ver o tráfego NAT,AWSVPC endpoints específicos do serviço e hospedagem de endpoints de API externos nesta VPC. Os logs de fluxo desta VPC são capturados e armazenados na conta do Log Archive.

Inspecionar VPC

Uma VPC de inspeção dedicada fornece uma abordagem simplificada e central para gerenciar inspeções entre VPCs (na mesma ou em diferentesAWSRegiões), a Internet e as redes no local. Para oAWSSRA, garanta que todo o tráfego entre VPCs passe pela VPC de inspeção e evite usar a VPC de inspeção para qualquer outra carga de trabalho.

AWS Network Firewall

AWSO Network Firewall é um serviço de firewall de rede gerenciado e altamente disponível para sua VPC. Ele permite que você implante e gerencie facilmente inspeção com estado, prevenção e detecção de intrusões e filtragem da Web para proteger suas redes virtuais emAWS. Para obter mais informações sobre como configurar o Network Firewall, consulte oAWSNetwork Firewall — Novo serviço de firewall gerenciado na VPCPublicação no blog do.

Você usa um firewall por zona de disponibilidade em sua VPC. Para cada zona de disponibilidade, você escolhe uma sub-rede para hospedar o endpoint do firewall que filtra seu tráfego. O endpoint do firewall em uma zona de disponibilidade pode proteger todas as sub-redes dentro da zona, exceto a sub-rede onde ela está localizada. Dependendo do caso de uso e do modelo de implantação, a sub-rede do firewall pode ser pública ou privada. O firewall é completamente transparente para o fluxo de tráfego e não executa conversão de endereços de rede (NAT). Ele preserva o endereço de origem e de destino. Nesta arquitetura de referência, os endpoints do firewall são hospedados em uma VPC de inspeção. Todo o tráfego da VPC de entrada e para a VPC de saída é roteado por essa sub-rede de firewall para inspeção.

Network Firewall torna a atividade do firewall visível em tempo real por meio da Amazon CloudWatch O e oferece maior visibilidade do tráfego de rede enviando logs para o Amazon Simple Storage Service (Amazon S3), o CloudWatch e o Amazon Kinesis Data Firehose. O Network Firewall é interoperável com sua abordagem de segurança existente, incluindo tecnologias deAWSParceiros. Você também pode importar existenteSuricataconjuntos de regras, que podem ter sido escritos internamente ou originados externamente de fornecedores terceirizados ou plataformas de código aberto.

Considerações sobre design
  • AWS Firewall ManageraguentaAWSNetwork Firewall e facilita a configuração e a implantação centralmente de regras do Network Firewall em toda a organização. (Para obter mais detalhes, consulteAWSPolíticas do Network FirewallnoAWSdocumentação.) Quando você configura o Firewall Manager, ele cria automaticamente um firewall de Network Firewall com conjuntos de regras nas contas e VPCs especificadas. Ele também implanta um endpoint em uma sub-rede dedicada para cada zona de disponibilidade que contém sub-redes públicas. Ao mesmo tempo, quaisquer alterações no conjunto de regras configuradas centralmente são atualizadas automaticamente a jusante nos firewalls de Network Firewall implantados.

  • Existemvários modelos de implantaçãodisponível com o Network Firewall. O modelo certo depende do caso de uso e dos requisitos da. Os exemplos incluem:

    • Um modelo de implantação distribuída em que o Network Firewall é implantado em VPCs individuais.

    • Um modelo de implantação centralizado, em que o Network Firewall é implantado em uma VPC centralizada para tráfego leste-oeste (VPC para VPC) e/ou norte-sul (saída e entrada da Internet, local).

    • Um modelo de implantação combinado em que o Network Firewall é implantado em uma VPC centralizada para leste-oeste e um subconjunto de tráfego norte-sul.

  • Como melhor prática, não use a sub-rede Network Firewall para implantar outros serviços da. Isso ocorre porque o Network Firewall não pode inspecionar o tráfego de fontes ou destinos dentro da sub-rede do firewall.

AWS Certificate Manager (ACM)

O ACM lida com a complexidade de criar, armazenar e renovar chaves e certificados SSL/TLS X.509 que protegem seus aplicativos da. Na VPC de entrada, os certificados públicos provisionados por ACM são implantados por meio do Amazon Route 53 (habilitando a validação de propriedade de DNS usando CNAME). Para obter usos adicionais do ACM, consulte a seção naUO de cargas de trabalhoMais adiante neste documento.

Consideração sobre design

Para certificados voltados para externamente, o ACM deve residir na mesma conta que os recursos para os quais provisiona certificados. Os certificados não podem ser compartilhados entre contas da.

AWS WAF

AWS WAFO é um firewall de aplicativo web que permite monitorar as solicitações HTTP e HTTPS encaminhadas para uma Amazon CloudFront distribuição, uma API REST do Amazon API Gateway, um Application Load Balancer ou umAWS AppSyncAPI GraphQL.AWS WAFO também permite que você controle o acesso ao seu conteúdo. Com base nas condições que você especificar, como de quais endereços IP se originam as solicitações ou os valores das strings de consulta, o serviço fronted responderá às solicitações com o conteúdo solicitado ou com um código de status HTTP 403 (Forbidden). Nesta arquitetura,AWS WAFO protege o CloudFront.

Considerações sobre design
  • O CloudFront forneceRecursos que aprimoram oAWS WAFfuncionalidade e fazer com que os dois serviços funcionem melhor juntos.

  • Você pode usar AWS WAF, AWS Firewall Manager e AWS Shield juntos para criar uma solução de segurança abrangente. Tudo começa com o AWS WAF. Você pode automatizar e simplificarAWS WAFgerenciamento usando o Firewall Manager. O Shield Advanced fornece recursos adicionais em cima doAWS WAFPor exemplo, o suporte dedicado da Equipe de resposta (DRT) distribuída por negação de serviço (DDoS) e relatórios avançados. Se você deseja ter controle granular sobre a proteção que é adicionada aos seus recursos, o AWS WAF é a escolha certa. Se você quiser usarAWS WAFem todas as contas, acelere seuAWS WAFconfiguração ou automatizar a proteção de novos recursos,usar o Firewall Manager com oAWS WAF. Por fim, se você possui sites de alta visibilidade ou suscetíveis a ataques DDoS frequentes, deve avaliar a possibilidade de comprar os recursos adicionais que o Shield Advanced fornece.

Amazon CloudFront

Amazônia CloudFront é uma rede de entrega de conteúdo (CDN) altamente segura que fornece proteção em nível de rede e em nível de aplicativo. Você pode entregar seu conteúdo, APIs ou aplicativos usando certificados SSL/TLS, e os recursos SSL avançados são ativados automaticamente. Você pode usarAWS Certificate Manager(ACM) para criar facilmente umcertificado SSL personalizadoe implante conteúdo em seu CloudFront Distribuição gratuita. Além disso, você pode restringir o acesso ao seu conteúdo usando vários recursos:

  • Ao usar URLs assinadas e cookies assinados, você pode oferecer suporte à autenticação de token para restringir o acesso apenas a visualizadores autenticados.

  • Por meio do recurso de restrição geográfica, você pode impedir que usuários em localizações geográficas específicas acessem o conteúdo que você está distribuindo pelo CloudFront.

  • Você pode usar o recurso de identidade de acesso de origem (OAI) para restringir o acesso a um bucket do S3 para ser acessível somente a partir do CloudFront.

Considerações sobre design
  • CloudFront,AWS Shield,AWS WAFe o Amazon Route 53 trabalham perfeitamente juntos para criar um perímetro de segurança flexível e em camadas contra vários tipos de ataques, incluindo ataques DDoS de rede e camada de aplicativo. CloudFront O fornece recursos que aprimoram oAWS WAFfuncionalidade e fazer com que os dois funcionem melhor juntos. Para obter mais informações, consulteComoAWS WAFFunciona com a Amazon CloudFront característicasnoAWSdocumentação.

  • Quando você entrega conteúdo da Web por meio de uma CDN, como o CloudFront, uma prática recomendada é impedir que as solicitações do visualizador ignorem a CDN e acessem seu conteúdo de origem diretamente. Para obter mais informações, consulte a postagem do blogComo aprimorar a Amazon CloudFront Segurança de origem comAWS WAFeAWS Secrets Manager.

AWS Shield

AWS Shieldé um serviço de proteção contra DDoS gerenciado que protege aplicativos executados emAWS. O Shield fornece detecção sempre ativa e atenuações automáticas em linha que minimizam o tempo de inatividade e a latência do aplicativo, portanto, não há necessidade de engajamentoAWSSupport para se beneficiar da proteção contra DDoS. NoAWSSRA, Shield Advanced está configurado para proteger o Route 53 e o CloudFront.

Consideração sobre design

Existem dois níveis de Shield: Shield Standard e Shield Advanced. TudoAWSOs clientes se beneficiam gratuitamente com as proteções automáticas do Shield Standard. O Shield Standard fornece proteção contra os ataques de infraestrutura mais comuns e frequentes (camadas 3 e 4). O Shield Standard usa filtragem de pacotes determinística e modelagem de tráfego baseada em prioridades para mitigar automaticamente os ataques básicos da camada de rede. O Shield Advanced fornece atenuações automáticas mais sofisticadas para ataques que direcionam seus aplicativos em execução no Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing (ELB), CloudFront,AWS Global Acceleratore recursos do Route 53. O Shield Advanced registra métricas que você pode monitorar no CloudWatch. (Para obter mais informações, consulteAWS Shield AdvancedMétricas e alarmes donoAWSdocumentação.) Se você possui sites de alta visibilidade ou suscetíveis a ataques DDoS frequentes, deve avaliar os recursos adicionais que o Shield Advanced fornece.

Guardrails do serviço de segurança

NoAWSSRA,AWS Security Hub, Amazon GuardDuty,AWS Config,AWSIAM Access Analyzer,AWS CloudTrailtrilhas da organização e Amazon EventBridge são implantados com administração delegada apropriada para a conta Security Tooling. Isso permite um conjunto consistente de guardrails e fornece monitoramento, gerenciamento e governança centralizados em todos os seusAWSorganização.