Amazon VPC 中的網際網路流量隱私權
Amazon Virtual Private Cloud 提供可用來提高和監控 Virtual Private Cloud (VPC) 安全的功能:
-
安全群組:安全群組會允許或拒絕資源層級 (例如 EC2 執行個體) 的特定傳入與傳出流量。啟動執行個體時,您可將其與一個或多個安全群組建立關聯。VPC 中的每個執行個體可能隸屬不同的安全群組。若您並未在啟動執行個體時指定安全群組,則執行個體會自動與其 VPC 的預設安全群組建立關聯。如需更多詳細資訊,請參閱 使用安全組控制到資源的流量。
-
網路存取控制清單 (ACL):網路 ACL 會允許或拒絕子網層級的特定傳入與傳出流量。如需更多詳細資訊,請參閱 使用網路 ACL 控制子網路的流量。
-
流量日誌:流量日誌可擷取您 VPC 中傳入和傳出網路介面之 IP 流量資訊。您可以建立 VPC、子網路或個別網路介面的流量日誌。流量日誌資料會發佈至 CloudWatch Logs 或 Amazon S3,並可協助您診斷過度限制或過度寬鬆的安全群組和網路 ACL 規則。如需詳細資訊,請參閱 使用 VPC 流量日誌來記錄 IP 流量。
-
流量鏡射:您可以從 Amazon EC2 執行個體的彈性網路介面複製網路流量。然後,您可以將流量傳送至頻外安全性和監控設備。如需詳細資訊,請參閱流量鏡射指南。
您可使用 AWS Identity and Access Management (IAM) 控制組織中具有安全群組、網路 ACL 和流量日誌之建立和管理許可的人員。例如,您可以向網路管理員授與該許可,但不將許可授與僅需啟動執行個體的人員。如需更多詳細資訊,請參閱 Amazon VPC 的 Identity and Access Management。
Amazon 安全群組和網路 ACL 不會篩選來往下列資料的流量:
-
Amazon 網域名稱服務 (DNS)
-
Amazon 動態主機設定通訊協定 (DHCP)
-
Amazon EC2 執行個體中繼資料
-
Amazon ECS 任務中繼資料端點
-
Windows 執行個體的授權啟動
-
Amazon Time Sync Service
-
預設 VPC 路由器使用的保留 IP 地址
比較安全群組和網路 ACL
下表總結了安全群組與網路 ACL 之間的基本差異。
| 安全群組 | 網路 ACL |
|---|---|
| 在執行個體層級運作 | 在子網路層級運作 |
| 僅當其與執行個體相關聯時才套用至執行個體 | 套用至部署在相關子網中的所有執行個體 (如果安全群組規則太過寬鬆,則提供額外一層防禦) |
| 僅支援允許規則 | 支援允許規則和拒絕規則 |
| 在決定是否允許流量前,先評估所有規則 | 在決定是否允許流量時,從編號最低的規則開始依序評估規則 |
| 具狀態:允許傳回流量,不受任何規則影響 | 無狀態:傳回流量必須經該規則明確允許 |
下表說明安全群組和網路 ACL 提供的安全 layer。例如,網際網路閘道傳出的流量會透過路由表中的路由來路由至適合的子網路。與子網路相關聯的網路 ACL 規則會控制允許哪些流量傳入子網路。與執行個體相關聯的安全群組規則會控制允許哪些流量傳入執行個體。
您只能使用安全群組來保護執行個體。不過,您可以新增網路 ACL 做為額外的防禦層。如需更多詳細資訊,請參閱 範例:控制對子網路中執行個體的存取。
