Grupos de segurança e rede ACLs (BP5) - AWS Melhores práticas para DDoS resiliência

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Grupos de segurança e rede ACLs (BP5)

A Amazon Virtual Private Cloud (AmazonVPC) permite que você provisione uma seção logicamente isolada da Nuvem AWS qual você pode lançar AWS recursos em uma rede virtual que você define.

Os grupos de segurança e a rede ACLs são semelhantes, pois permitem que você controle o acesso aos AWS recursos dentro do seuVPC. Mas os grupos de segurança permitem que você controle o tráfego de entrada e saída no nível da instância, enquanto a rede ACLs oferece recursos semelhantes no nível da VPC sub-rede. Não há cobrança adicional pelo uso de grupos de segurança ou redeACLs.

Você pode escolher se deseja especificar grupos de segurança ao executar uma instância ou associar a instância a um grupo de segurança posteriormente. Todo o tráfego da Internet para um grupo de segurança é negado implicitamente, a menos que você crie uma regra de permissão para permitir o tráfego.

Por exemplo, quando você tem EC2 instâncias da Amazon por trás de um Elastic Load Balancer, as instâncias em si não precisam estar acessíveis ao público e devem ser apenas privadasIPs. Em vez disso, você poderia fornecer ao Elastic Load Balancer acesso às portas necessárias do ouvinte de destino usando uma regra de grupo de segurança que permite acesso a 0.0.0.0/0 (para evitar problemas de rastreamento de conexão — veja a observação abaixo) em conjunto com uma Lista de Controle de Acesso à Rede (NACL) na sub-rede do grupo-alvo para permitir que somente os intervalos de IP do Elastic Load Balancing se comuniquem com as instâncias. Isso garante que o tráfego da Internet não possa se comunicar diretamente com suas EC2 instâncias da Amazon, o que torna mais difícil para um invasor conhecer e impactar seu aplicativo.

Ao criar uma redeACLs, você pode especificar as regras de permissão e negação. Isso é útil se você quiser negar explicitamente certos tipos de tráfego para seu aplicativo. Por exemplo, você pode definir endereços IP (como CIDR intervalos), protocolos e portas de destino aos quais o acesso à sub-rede inteira é negado. Se seu aplicativo for usado somente para TCP tráfego, você poderá criar uma regra para negar todo o UDP tráfego ou vice-versa. Essa opção é útil ao responder a DDoS ataques porque permite criar suas próprias regras para mitigar o ataque quando você conhece a origem IPs ou outra assinatura.

Se você estiver inscrito AWS Shield Advanced, poderá registrar endereços IP elásticos como recursos protegidos. DDoSataques contra endereços IP elásticos que foram registrados como recursos protegidos são detectados mais rapidamente, o que pode resultar em um tempo mais rápido de mitigação. Quando um ataque é detectado, os sistemas de DDoS mitigação lêem a rede ACL que corresponde ao endereço IP elástico de destino e a aplicam na borda da AWS rede, e não no nível da sub-rede. Isso reduz significativamente o risco de impacto de vários DDoS ataques na camada de infraestrutura.

Para obter mais informações sobre como configurar grupos de segurança e rede ACLs para otimizar a DDoS resiliência, consulte Como ajudar a se preparar para DDoS ataques reduzindo sua superfície de ataque.

Para obter mais informações sobre o uso do Shield Advanced com endereços IP elásticos como recursos protegidos, consulte as etapas para se inscrever AWS Shield Advanced.