SEC 5: Come proteggere le risorse di rete?
Qualsiasi carico di lavoro che abbia una qualche forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.
Risorse
Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield
AWS Transit Gateway reference architectures for many VPCs"
Amazon VPC Security
Getting started with AWS WAF
AWS Firewall Manager
Amazon Inspector
Lab: Automated Deployment of VPC
Best practice:
-
Creazione di livelli di rete: Raggruppa i componenti che condividono requisiti di raggiungibilità in vari livelli. Ad esempio, un cluster di database in un VPC senza necessità di accesso a Internet deve essere posizionato in sottoreti senza routing da o verso Internet. In un carico di lavoro serverless che opera senza un VPC, livelli e segmentazione simili con microservizi possono raggiungere lo stesso obiettivo.
-
Controllo del traffico a tutti i livelli: Applica controlli con un approccio di difesa approfondito sia per il traffico in entrata sia per quello in uscita. Ad esempio, nel caso di Amazon Virtual Private Cloud (VPC), sono previsti gruppi di sicurezza, ACL di rete e sottoreti. Per quanto riguarda AWS Lambda, considera la possibilità di esecuzione nel VPC privato con controlli basati su VPC.
-
Automatizzazione della protezione di rete: Automatizza i meccanismi di protezione per creare una rete in grado di difendersi da sola grazie alle informazioni sulle minacce e al rilevamento delle anomalie. Ad esempio, introducendo strumenti di rilevamento e prevenzione delle intrusioni in grado di adattarsi alle minacce attuali e di ridurne l'impatto.
-
Implementazione di funzioni di ispezione e protezione: Ispeziona e filtra il traffico a ogni livello. Ad esempio, utilizza un firewall per applicazioni Web per proteggere da accessi involontari a livello di rete dell'applicazione. Per le funzioni Lambda, strumenti di terze parti possono aggiungere un firewall a livello di applicazione all'ambiente di runtime.
Piano di miglioramento
Creazione di livelli di rete
VPCs and subnets
Route tables
Controllo del traffico a tutti i livelli
Amazon VPC security
Lab: Automated Deployment of VPC
VPC endpoints
Amazon VPC security group
Network ACLs
Amazon CloudFront use cases
AWS Global Accelerator
AWS Web Application Firewall (AWS WAF)
Amazon Route 53
Amazon VPC Ingress Routing
Amazon VPC Peering
Amazon VPC Endpoint Services (AWS PrivateLink)
Amazon VPC Transit Gateway
AWS Direct Connect
AWS Site-to-Site VPN
AWS Client VPN
Amazon S3 Access Points
Automatizzazione della protezione di rete
AWS WAF security automations
Infrastructure security
Implementazione di funzioni di ispezione e protezione
Amazon GuardDuty
Lab: Automated Deployment of Detective Controls
VPC traffic mirroring