SEC 5: Come proteggere le risorse di rete?

Qualsiasi carico di lavoro che abbia una qualche forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

Risorse

Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield
AWS Transit Gateway reference architectures for many VPCs"
Amazon VPC Security
Getting started with AWS WAF
AWS Firewall Manager
Amazon Inspector
Lab: Automated Deployment of VPC

Best practice:

Piano di miglioramento

Creazione di livelli di rete

  • Creazione di sottoreti in VPC: Crea sottoreti per ogni livello (in gruppi che includono più zone di disponibilità) e associa tabelle di instradamento per controllare il routing.
    VPCs and subnets
    Route tables
  • Controllo del traffico a tutti i livelli

  • Controllo del traffico di rete in un VPC: Implementa le best practice di VPC per controllare il traffico
    Amazon VPC security
    Lab: Automated Deployment of VPC
    VPC endpoints
    Amazon VPC security group
    Network ACLs
  • Controllo del traffico a livello di edge: Implementa servizi edge, come Amazon CloudFront, per fornire un ulteriore livello di protezione e altre funzionalità.
    Amazon CloudFront use cases
    AWS Global Accelerator
    AWS Web Application Firewall (AWS WAF)
    Amazon Route 53
    Amazon VPC Ingress Routing
  • Controllo del traffico di rete privato: Implementa servizi in grado di proteggere il traffico privato per il carico di lavoro.
    Amazon VPC Peering
    Amazon VPC Endpoint Services (AWS PrivateLink)
    Amazon VPC Transit Gateway
    AWS Direct Connect
    AWS Site-to-Site VPN
    AWS Client VPN
    Amazon S3 Access Points
  • Automatizzazione della protezione di rete

  • Automatizzazione della protezione per il traffico basato sul Web: AWS offre una soluzione che si appoggia ad AWS CloudFormation per distribuire automaticamente una serie di regole AWS WAF progettate per filtrare gli attacchi comuni basati sul Web. Gli utenti hanno la possibilità di scegliere tra caratteristiche di protezione preconfigurate che definiscono le regole incluse in una lista di controllo accessi Web (ACL Web) di AWS WAF.
    AWS WAF security automations
  • Possibilità di adottare soluzioni dei partner APN: I partner APN offrono centinaia di prodotti leader nel settore che sono equivalenti, identici o si integrano ai controlli esistenti negli ambienti in locale. Questi prodotti completano i servizi AWS esistenti per consentirti di distribuire un'architettura di sicurezza completa e un'esperienza più fluida nel cloud e negli ambienti in locale.
    Infrastructure security
  • Implementazione di funzioni di ispezione e protezione

  • Configurazione di Amazon GuardDuty: Amazon GuardDuty è un servizio di rilevamento delle minacce che esegue un monitoraggio costante per individuare attività dannose e comportamenti non autorizzati al fine di proteggere i tuoi carichi di lavoro e account AWS. Abilita GuardDuty e configura gli avvisi automatici.
    Amazon GuardDuty
    Lab: Automated Deployment of Detective Controls
  • Configurazione di VPC Flow Logs: VPC Flow Logs è una funzione che ti consente di catturare le informazioni sul traffico IP da e verso le interfacce di rete nel VPC. I dati dei log di flusso possono essere pubblicati su Amazon CloudWatch Logs e Amazon S3. Dopo aver creato un log di flusso, puoi recuperarne e visualizzarne i dati nella destinazione scelta.
  • Possibilità di implementare il mirroring del traffico VPC: Il mirroring del traffico è una caratteristica di Amazon VPC che puoi utilizzare per copiare il traffico di rete da un'interfaccia di rete elastica di istanze Amazon EC2 e quindi inviarlo ad appliance di sicurezza e monitoraggio fuori banda per l'ispezione dei contenuti, il monitoraggio delle minacce e la risoluzione dei problemi.
    VPC traffic mirroring