A arquitetura de segurança da AWS

Compreender a arquitetura de segurança da AWS é essencial para implantar com eficácia as ferramentas que ela oferece para proteger a rede virtual integrando seus recursos locais e da AWS.

Listas de controle de acesso à rede

As listas de controle de acesso à rede (NACLs) ajudam a regular o tráfego de entrada e saída de cada sub-rede. Ter uma NACL com um conjunto de regras granulares garante apenas o fluxo de tráfego autorizado entre sub-redes. Elas operam com uma lista de regras numeradas. Por padrão, todos os NACLs personalizados negam o tráfego de entrada e saída. Você pode adicionar regras específicas para permitir apenas o tráfego necessário de entrada e saída da sub-rede.

A imagem abaixo mostra um exemplo de como as regras configuradas funcionam em NACLs.

Network ACL

A última regra afirma que todo o tráfego de saída é negado, exceto o tráfego definido pelas regras acima. Esta regra estará presente por padrão quando você criar uma NACL. A regra 103 afirma que o tráfego HTTPS é negado especificamente para os IPs que se enquadram no intervalo; 52.216.0.0/15. A regra 102 afirma que a porta 5432 usada para acessar o PostgreSQL é permitida para os IPs que estão na faixa 172.31.0.10/32. Da mesma forma, a regra 101 afirma que o acesso HTTP usando a porta 80 é permitido para qualquer IP.

Nuvem privada virtual e sub-redes

Uma nuvem privada virtual (VPC) protege suas instâncias do Amazon Elastic Cloud Compute (EC2) contra acesso direto pela Internet. Com a VPC, você pode definir regras para restringir o tráfego que entra e sai da sua rede virtual. Por padrão, quando uma VPC é criada pela primeira vez para sua conta, ela inclui uma sub-rede pública que permite tráfego de entrada e saída. É aconselhável alterar isso e criar uma sub-rede pública e outra privada em sua VPC. Por exemplo, você gostaria que o servidor web fosse acessível à Internet, mas não aos bancos de dados. Uma maneira de conseguir isso é colocar o servidor web em uma sub-rede pública e os bancos de dados em uma sub-rede privada em sua VPC.

Virtual Private Cloud

Dessa forma, uma VPC também permite que você tenha partições lógicas entre os diferentes tipos de recursos que você possui em uma plataforma de nuvem. Uma única conta AWS permite a criação de até cinco VPCs. Além de um servidor web e um servidor de banco de dados, se você quiser usar AWS para armazenamento de objetos não estruturados, como imagens ou arquivos de texto, poderá criar outra VPC com apenas uma sub-rede privada. Isso garantirá que os dados armazenados na VPC permaneçam isolados da Internet e sejam acessíveis apenas para sua organização. O particionamento dos recursos na sua conta da AWS, com base no tráfego que você prefere permitir ou negar, traz mais estrutura às suas operações na nuvem. Isso também garantirá que os dados que deveriam estar acessíveis pela Internet sejam facilmente acessíveis, enquanto aqueles que são essenciais para suas operações permaneçam isolados da Internet e privados para sua organização.

Introdução Anterior Próximo Configurações para proteger seu ambiente AWS

© 2024 Zoho Corporation Ltd. Todos os direitos reservados.

Capítulos