AWS Associate

Amazon VPC – ACLs e NATs

Listas de controle de acesso à rede (ACLs)

Uma lista de controle de acesso à rede (ACL) é outra camada de segurança que atua como um firewall stateful em um nível de sub-rede.

Uma ACL de rede é uma lista numerada de regras que a AWS avalia em ordem, começando com a regra numerada mais baixa, para determinar se o tráfego é permitido dentro ou fora de qualquer sub-rede associada à ACL da rede.

Os VPCs da Amazon são criados com uma ACL de rede padrão modificável associada a cada sub-rede que permite todo o tráfego de entrada e saída. Quando você cria uma ACL de rede personalizada, sua configuração inicial negará todo o tráfego de entrada e saída até que você crie regras que permitam o contrário.

Você pode configurar ACLs de rede com regras semelhantes aos seus grupos de segurança, a fim de adicionar uma camada de segurança ao seu VPC da Amazon, ou você pode optar por usar a ACL de rede padrão que não filtra o tráfego que atravessa o limite da sub-rede. Em geral, cada sub-rede deve estar associada a uma ACL de rede.

Instâncias de tradução de endereço de rede (NAT) e gateways de NAT

Por padrão, qualquer instância que você inicia em uma sub-rede privada em um VPC Amazon não é capaz de se comunicar com a Internet através do IGW.

Isso é problemático se as instâncias dentro de sub-redes privadas precisam de acesso direto à Internet a partir do VPC da Amazon para aplicar atualizações de segurança, baixar patches ou atualizar o software aplicativo.

O AWS fornece instâncias NAT e gateways NAT para permitir instâncias implantadas em sub-redes privadas para obter acesso à Internet. Para casos de uso comum, recomendamos que você use um gateway NAT em vez de uma instância NAT.

O gateway NAT fornece uma melhor disponibilidade e maior largura de banda e requer menos esforço administrativo do que as instâncias NAT.

NAT Instance

Uma instância de tradução de endereços de rede (NAT) é uma imagem de máquina Amazon Amazon (Linux) que foi projetada para aceitar tráfego de instâncias dentro de uma sub-rede privada, traduzir o endereço IP de origem para o endereço IP público da instância NAT e encaminhar o tráfego para o IGW.

Além disso, a instância NAT mantém o estado do tráfego reencaminhado para retornar o tráfego de resposta da Internet para a instância apropriada na sub-rede privada.

Essas instâncias possuem a string amzn-ami-vpc-nat em seus nomes, que é pesquisável no console Amazon EC2. Para permitir que instâncias dentro de uma sub-rede privada acessem recursos da Internet através do IGW através de uma instância NAT, você deve fazer o seguinte:

  • Crie um grupo de segurança para o NAT com regras de saída que especifiquem os recursos necessários da Internet por porta, protocolo e endereço IP.
  • Inicie um AMI NAT da Amazon Linux como uma instância em uma sub-rede pública e associe-a com o grupo de segurança NAT.
  • Desative o atributo Origem / Destino da NAT.
  • Configure a tabela de rotas associada a uma sub-rede privada para direcionar o tráfego vinculado à Internet para a instância NAT (por exemplo, i-1a2b3c4d).
  • Alocar um EIP e associá-lo com a instância NAT.
  • Esta configuração permite que instâncias em sub-redes particulares enviem Internet de saída de comunicação, mas evita que as instâncias recebam o tráfego de entrada iniciado por alguém na Internet.

Gateway NAT

Um gateway NAT é um recurso gerenciado da Amazon, projetado para funcionar como uma instância NAT, mas é mais fácil de gerenciar e altamente disponível dentro de uma Zona de Disponibilidade.

Para permitir que instâncias dentro de uma sub-rede privada acessem recursos da Internet através do IGW através de um gateway NAT, você deve fazer o seguinte:

  • Configure a tabela de rota associada à sub-rede privada para direcionar o tráfego vinculado à Internet para o gateway NAT (por exemplo, nat-1a2b3c4d).
  • Alocar um EIP e associá-lo ao gateway NAT.
  • Como uma instância NAT, este serviço gerenciado permite a comunicação via Internet e impede que as instâncias recebam tráfego de entrada iniciado por alguém na internet.

Para criar uma arquitetura independente da Zona de disponibilidade, crie um gateway NAT em cada Zona de Disponibilidade e configure seu roteamento para garantir que os recursos usem o gateway NAT na mesma Zona de Disponibilidade.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *