Amazon VPC 的基礎設施安全性 - Amazon Virtual Private Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon VPC 的基礎設施安全性

作為受管服務,Amazon Virtual Private Cloud 受到 AWS 全球網路安全的保護。有關 AWS 安全服務以及如何 AWS 保護基礎結構的詳細資訊,請參閱AWS 雲端安全 若要使用基礎架構安全性的最佳做法來設計您的 AWS 環境,請參閱安全性支柱架構良 AWS 好的架構中的基礎結構保

您可以使用 AWS 已發佈的 API 呼叫透過網路存取 Amazon VPC。使用者端必須支援下列專案:

  • Transport Layer Security (TLS)。我們需要 TLS 1.2 並建議使用 TLS 1.3。

  • 具備完美轉送私密(PFS)的密碼套件,例如 DHE (Ephemeral Diffie-Hellman)或 ECDHE (Elliptic Curve Ephemeral Diffie-Hellman)。現代系統(如 Java 7 和更新版本)大多會支援這些模式。

此外,請求必須使用存取金鑰 ID 和與 IAM 主體相關聯的私密存取金鑰來簽署。或者,您可以透過 AWS Security Token Service (AWS STS) 來產生暫時安全憑證來簽署請求。

網路隔離

虛擬私有雲(VPC)是您自己在 AWS 雲中邏輯隔離區域中的虛擬網絡。使用不同的 VPC,依工作負載或組織實體來隔離基礎設施。

子網是您的 VPC 中的 IP 地址範圍。啟動執行個體時,您會在 VPC 的子網中啟動它。使用子網來隔離單一 VPC 內的應用程式層 (例如,Web、應用程式及資料庫)。如果不應該從網際網路直接存取,則針對您的執行個體使用私有子網。

您可以使用AWS PrivateLink讓 VPC 中的資源 AWS 服務 使用私有 IP 位址連線,就像這些服務直接託管在 VPC 中一樣。因此,您不需要使用網際網路閘道或 NAT 裝置即可存取 AWS 服務。

控制網路流量

請考慮下列選項來控制您 VPC 中的資源 (例如 EC2 執行個體) 的網路流量:

  • 使用安全群組做為控制網路存取 VPC 的主要機制。必要時,請使用 網路 ACL 來提供無狀態、粗糙的網路控制。安全群組比網路 ACL 更多用途,因為它們能夠執行有狀態封包篩選,並建立參考其他安全群組的規則。網路 ACL 可以有效地作為次要控制項 (例如拒絕特定流量子集) 或作為高階子網路防護護欄。此外,由於網路 ACL 適用於整個子網路,因此可以像 defense-in-depth 在沒有正確安全性群組的情況下啟動執行個體一樣使用。

  • 如果不應該從網際網路直接存取,則針對您的執行個體使用私有子網。使用堡壘主機或 NAT 閘道,以取得來自私有子網路中執行個體的網際網路存取權限。

  • 設定具有最少網路路由的子網路路由表,以支援連線需求。

  • 請考慮使用其他安全群組或網路界面,來控制和稽核 Amazon EC2 執行個體管理流量,並與一般應用程式流量分開。因此,您可以實作變更控制的特殊 IAM 政策,讓稽核安全群組規則或自動規則驗證指令碼的變更變得更輕鬆。多個網路界面也提供其他控制網路流量的選項,包括能夠建立以主機為基礎的路由政策,或能夠根據網路界面指派的子網路運用不同的 VPC 子網路路由規則。

  • 使用 AWS Virtual Private Network 或 AWS Direct Connect 建立從遠端網路到 VPC 的私人連線。如需詳細資訊,請參閱 Network-to-Amazon VPC 連線選項

  • 使用 VPC 流程日誌監控到達您執行個體的流量。

  • 使用 AWS Security Hub 檢查來自您執行個體的意外網路存取性。

  • 使用 AWS Network Firewall 保護 VPC 中的子網路,以免遭受常見網路威脅的侵害。

比較安全群組和網路 ACL

下表總結了安全群組與網路 ACL 之間的基本差異。

安全群組 網路 ACL
在執行個體層級運作 在子網路層級運作
僅當其與執行個體相關聯時才套用至執行個體 套用至部署在相關子網中的所有執行個體 (如果安全群組規則太過寬鬆,則提供額外一層防禦)
僅支援允許規則 支援允許規則和拒絕規則
在決定是否允許流量前,先評估所有規則 在決定是否允許流量時,從編號最低的規則開始依序評估規則
具狀態:允許傳回流量,不受任何規則影響 無狀態:傳回流量必須經該規則明確允許

下表說明安全群組和網路 ACL 提供的安全 layer。例如,網際網路閘道傳出的流量會透過路由表中的路由來路由至適合的子網路。與子網路相關聯的網路 ACL 規則會控制允許哪些流量傳入子網路。與執行個體相關聯的安全群組規則會控制允許哪些流量傳入執行個體。

使用安全群組和網路 ACL 控制流量

您只能使用安全群組來保護執行個體。不過,您可以新增網路 ACL 做為額外的防禦層。如需詳細資訊,請參閱 範例:控制對子網路中執行個體的存取