As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Segurança da infraestrutura no Amazon S3
Como um serviço gerenciado, o Amazon Virtual Private Cloud é protegido pela segurança de rede AWS global. Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte AWS Cloud Security
Você usa chamadas de API AWS publicadas para acessar a Amazon VPC pela rede. Os clientes precisam oferecer suporte para:
-
Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
-
Conjuntos de criptografia com sigilo de encaminhamento perfeito (perfect forward secrecy, ou PFS) como DHE (Ephemeral Diffie-Hellman, ou Efêmero Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman, ou Curva elíptica efêmera Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.
Além disso, as solicitações devem ser assinadas utilizando um ID da chave de acesso e uma chave de acesso secreta associada a uma entidade principal do IAM. Ou é possível usar o AWS Security Token Service (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.
Isolamento de rede
Uma nuvem privada virtual (VPC) é uma rede virtual em sua própria área logicamente isolada na nuvem. AWS Use VPCs separadas para isolar a infraestrutura por workload ou entidade organizacional.
Uma sub-rede é um intervalo de endereços IP em uma VPC. Quando executa uma instância, você a executa em uma sub-rede em sua VPC. Use sub-redes para isolar as camadas de sua aplicação (por exemplo, Web, aplicação e banco de dados) em uma única VPC. Use sub-redes privadas para as instâncias que não devem ser acessadas diretamente pela Internet.
Você pode usar AWS PrivateLinkpara habilitar recursos em sua VPC para se conectar Serviços da AWS usando endereços IP privados, como se esses serviços estivessem hospedados diretamente em sua VPC. Portanto, você não precisa usar um gateway de internet ou um dispositivo NAT para acessar Serviços da AWS.
Controlar o tráfego de rede
Considere as seguintes opções para controlar o tráfego de rede para os recursos em sua VPC, por exemplo, instâncias do EC2:
Use grupos de segurança como mecanismo primário para controlar o acesso à rede a suas VPCs. Quando necessário, use ACLs de rede para fornecer controle de rede sem estado e de alta granularidade. Os grupos de segurança são mais versáteis que as ACLs de rede devido à capacidade de realizar a filtragem de pacotes com estado e criar regras que fazem referência a outros grupos de segurança. As ACLs de rede podem ser eficientes como controle secundário (por exemplo, para negar um subconjunto de tráfego específico) ou como grades de proteção de sub-rede de alto nível. Além disso, como as ACLs de rede se aplicam a uma sub-rede inteira, elas podem ser usadas como defense-in-depth no caso de uma instância ser executada sem o grupo de segurança correto.
Use sub-redes privadas para as instâncias que não devem ser acessadas diretamente pela Internet. Use um bastion host ou gateway NAT para acessar a Internet em uma instância em sub-redes privadas.
Configure tabelas de rotas de sub-rede com as rotas de rede mínimas para suportar seus requisitos de conectividade.
Considere usar grupos de segurança adicionais ou interfaces de rede para controlar e auditar o tráfego de gerenciamento de instâncias do Amazon EC2 separadamente do tráfego de aplicação regular. Assim, é possível implementar políticas do IAM especiais para controle de alterações, facilitando a auditoria de alterações às regras de grupo de segurança ou scripts automáticos de verificação de regras. Várias interfaces de rede também fornecem opções adicionais para controlar o tráfego de rede, incluindo a capacidade de criar políticas de roteamento baseado em host ou usar diferentes regras de roteamento de sub-rede da VPC com base na interface de rede atribuída a uma sub-rede.
-
Use AWS Virtual Private Network ou AWS Direct Connect para estabelecer conexões privadas de suas redes remotas com suas VPCs. Para obter mais informações, consulte Network-to-Amazon VPC connectivity options (Opções de conectividade entre a rede e a Amazon VPC).
-
Use Logs de fluxo da VPC para monitorar o tráfego recebido nas instâncias.
-
Use o AWS Security Hub
para verificar acessibilidade de rede acidental nas instâncias. -
Use AWS Network Firewall para proteger as sub-redes na sua VPC contra ameaças comuns de rede.
Comparar grupos de segurança e ACLs de rede
A tabela a seguir resume as diferenças básicas entre grupos de segurança e ACLs de rede.
| Grupo de segurança | Conexão ACL |
|---|---|
| Opera em nível de instância | Opera em nível de sub-rede |
| Aplica-se a uma instância somente se ela estiver associada à instância | Aplica-se a todas as instâncias implantadas na sub-rede associada (fornecendo uma camada adicional de defesa, caso as regras do grupo de segurança sejam permissivas demais) |
| Comporta apenas regras de permissão | Comporta regras de permissão e negação |
| Avalia todas as regras antes de decidir se deve permitir o tráfego | Avalia as regras na ordem, a partir da regra de número mais baixo, ao decidir se o tráfego será permitido ou não |
| Com estado: o tráfego de retorno é permitido, seja qual for a regra | Sem estado: o tráfego de deve ser permitido explicitamente pelas regras |
O diagrama a seguir mostra as camadas de segurança fornecidas por grupos de segurança e ACLs de rede. Por exemplo, o tráfego para e proveniente de um gateway da Internet é roteado para a sub-rede apropriada usando as rotas apresentadas na tabela de rotas. As regras da ACL de rede associadas à sub-rede controlam qual tráfego é permitido à sub-rede. As regras do grupo de segurança associadas à instância controlam qual tráfego é permitido à instância.
É possível proteger as instâncias usando somente grupos de segurança. No entanto, é possível adicionar ACLs de rede como uma camada adicional de defesa. Para ter mais informações, consulte Exemplo: controlar o acesso a instâncias em uma sub-rede.
