SEC 5: Como você protege seus recursos de rede?

Qualquer carga de trabalho que tenha alguma forma de conectividade de rede, seja a Internet ou uma rede privada, exige várias camadas de defesa para ajudar a proteger contra ameaças externas e internas baseadas em rede.

Recursos

Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield
AWS Transit Gateway reference architectures for many VPCs"
Amazon VPC Security
Getting started with AWS WAF
AWS Firewall Manager
Amazon Inspector
Lab: Automated Deployment of VPC

Melhores práticas:

• Criar camadas de rede: Agrupe componentes que compartilham requisitos de acessibilidade em camadas. Por exemplo, um cluster de banco de dados em uma VPC sem necessidade de acesso à Internet deve ser colocado em sub-redes sem nenhuma rota para/da Internet. Em uma carga de trabalho sem servidor operando sem uma VPC, camadas e segmentação semelhantes com microsserviços podem atingir o mesmo objetivo.

• Controlar tráfego de todas as camadas: Aplique controles com uma abordagem de defesa detalhada para tráfego de entrada e saída. Por exemplo, para a Amazon Virtual Private Cloud (VPC), isso inclui grupos de segurança, ACLs de rede e sub-redes. Para o AWS Lambda, considere executar em sua VPC privada com controles baseados em VPC.

• Automatizar proteção de rede: Automatize os mecanismos de proteção para fornecer uma rede de autodefesa com base em inteligência de ameaças e detecção de anomalias. Por exemplo, ferramentas de detecção e prevenção de intrusão que podem se adaptar proativamente às ameaças atuais e reduzir seu impacto.

• Implementar inspeção e proteção: Inspecione e filtre o tráfego em cada camada. Por exemplo, use um firewall de aplicação web para proteger contra o acesso acidental na camada de rede do aplicativo. Para as funções do Lambda, ferramentas de terceiros podem adicionar firewalls de camada de aplicativo ao ambiente de tempo de execução.

Plano de melhoria

Criar camadas de rede

Criar sub-redes na VPC: Crie sub-redes para cada camada (em grupos que incluem várias zonas de disponibilidade) e associe tabelas de rotas para controlar o roteamento.
VPCs and subnets
Route tables

Controlar tráfego de todas as camadas

Controlar tráfego de rede em uma VPC: Implementar as melhores práticas da VPC para controlar o tráfego
Amazon VPC security
Lab: Automated Deployment of VPC
VPC endpoints
Amazon VPC security group
Network ACLs

Controlar o tráfego na borda: Implemente serviços de borda, como o Amazon CloudFront, para fornecer uma camada adicional de proteção e outros recursos.
Amazon CloudFront use cases
AWS Global Accelerator
AWS Web Application Firewall (AWS WAF)
Amazon Route 53
Amazon VPC Ingress Routing

Controlar o tráfego de rede privada: Implemente serviços que protegem o tráfego privado da sua carga de trabalho.
Amazon VPC Peering
Amazon VPC Endpoint Services (AWS PrivateLink)
Amazon VPC Transit Gateway
AWS Direct Connect
AWS Site-to-Site VPN
AWS Client VPN
Amazon S3 Access Points

Automatizar proteção de rede

Automatizar a proteção para tráfego na web: A AWS oferece uma solução que usa o AWS CloudFormation para implantar automaticamente um conjunto de regras do AWS WAF projetadas para filtrar ataques comuns baseados na web. Os usuários podem selecionar entre recursos de proteção pré-configurados que definem as regras incluídas em uma lista de controle de acesso da web (web ACL) do AWS WAF.
AWS WAF security automations

Considerar soluções de parceiros do APN: Os parceiros do APN oferecem centenas de produtos líderes do setor que são equivalentes, idênticos ou se integram aos controles existentes nos seus ambientes no local. Esses produtos complementam os serviços da Nuvem AWS já existentes para que os clientes possam implantar uma arquitetura de segurança abrangente e fornecer uma experiência mais uniforme nos seus ambientes na nuvem e no local.
Infrastructure security

Implementar inspeção e proteção

Configurar o Amazon GuardDuty: O Amazon GuardDuty é um serviço de detecção de ameaças que monitora continuamente atividades maliciosas e comportamentos não autorizados para proteger contas e cargas de trabalho da AWS. Habilite o GuardDuty e configure alertas automatizados.
Amazon GuardDuty
Lab: Automated Deployment of Detective Controls

Configurar VPC Flow Logs: VPC Flow Logs permitem capturar informações sobre o tráfego IP de entrada e saída de interfaces de rede em sua VPC. Os dados do log de fluxo podem ser publicados no Amazon CloudWatch Logs e no Amazon S3. Depois de criar um log de fluxo, você pode recuperar e visualizar seus dados no destino escolhido.

Considerar o espelhamento de tráfego da VPC: O espelhamento de tráfego é um recurso da Amazon VPC que pode ser usado para copiar o tráfego de rede de uma interface de rede elástica de instâncias do Amazon EC2 e enviá-lo para dispositivos de segurança e monitoramento fora de banda para inspeção de conteúdo, monitoramento de ameaças e solução de problemas.
VPC traffic mirroring