Contenção da origem

A contenção da origem consiste no uso e na aplicação de mecanismos de filtragem ou roteamento, dentro de um determinado ambiente, com o objetivo de restringir o acesso a recursos provenientes de um endereço IP de origem ou intervalo de rede específico. A seguir, apresentamos exemplos de contenção da origem com o uso de serviços da AWS:

Grupos de segurança: a criação e a aplicação de grupos de segurança de isolamento para instâncias do Amazon EC2, ou a remoção de regras de um grupo de segurança existente, pode ajudar na contenção do tráfego não autorizado direcionado a uma instância do Amazon EC2 ou a um recurso da AWS. Vale destacar que conexões existentes, que já estejam sendo rastreadas, não serão interrompidas pela alteração dos grupos de segurança. Apenas o tráfego futuro será efetivamente bloqueado pelo novo grupo de segurança (consulte o Plano de ação de Resposta a Incidentes e a seção Rastreamento de conexão de grupo de segurança para obter mais informações sobre as conexões que são rastreadas e as conexões que não rastreadas).
Políticas: é possível configurar políticas de buckets do Amazon S3 para permitir ou negar tráfego proveniente de um determinado endereço IP, intervalo de rede ou endpoint da VPC. As políticas permitem bloquear endereços suspeitos e restringir o acesso ao bucket do Amazon S3. Você pode encontrar informações adicionais sobre as políticas de bucket em Adicionar uma política de bucket usando o console do Amazon S3.
AWS WAF: é possível configurar listas de controle de acesso à web (ACLs da web) no AWS WAF para fornecer controle granulado sobre as solicitações web recebidas pelos recursos. Você pode adicionar um endereço IP ou um intervalo de rede a um conjunto de IP configurado no AWS WAF e aplicar condições de correspondência, como bloqueio, ao conjunto de IP. Dessa forma, quaisquer solicitações web serão bloqueadas para um recurso se o endereço IP ou os intervalos de rede provenientes do tráfego de origem corresponderem às regras do conjunto de IP configurado.

Um exemplo de contenção da origem pode ser observado no diagrama apresentado a seguir, no qual um analista responsável pela resposta a incidentes modifica o grupo de segurança de uma instância do Amazon EC2 para restringir novas conexões somente a determinados endereços IP. É importante ressaltar, conforme indicado no tópico sobre grupos de segurança, que conexões existentes, que já estejam sendo rastreadas, não serão interrompidas em decorrência da modificação do grupo de segurança.

Exemplo de contenção de origem

nota

Os grupos de segurança e as ACLs da rede não realizam a filtragem do tráfego direcionado ao Amazon Route 53. Dessa maneira, ao realizar a contenção de uma instância do EC2, é necessário garantir o bloqueio explícito das comunicações DNS, caso o objetivo seja restringir o contato com hosts externos.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Contenção

Contenção de técnica e de acesso