fbpx

Segurança na Rede AWS

Compartilhar no facebook
Compartilhar no linkedin
Compartilhar no twitter
Compartilhar no whatsapp
Compartilhar no telegram

A AWS fornece uma gama de serviços de rede que permitem criar uma rede logicamente isolada que você define, estabelecer uma conexão de rede privada com a AWS Cloud, usar um serviço DNS (Sistema de Nomes de Domínio) altamente disponível e escalável e fornecer conteúdo para seus usuários finais com baixa latência e altas velocidades de transferência de dados com um serviço da Web de entrega de conteúdo.

 

Segurança de balanceamento de carga elástico

 

O Elastic Load Balancing é usado para gerenciar o tráfego em uma frota de instâncias do Amazon EC2, distribuindo o tráfego para instâncias em todas as zonas de disponibilidade em uma região.

O Elastic Load Balancing possui todas as vantagens de um balanceador de carga local, além de vários benefícios de segurança:

Assume o trabalho de criptografia e descriptografia das instâncias do Amazon EC2 e o gerencia centralmente no balanceador de carga.

Oferece aos clientes um único ponto de contato e também pode servir como a primeira linha de defesa contra ataques à sua rede.

Quando usado em um Amazon VPC, oferece suporte à criação e gerenciamento de grupos de segurança associados ao seu Elastic Load Balancing para fornecer opções adicionais de rede e segurança.

Suporta criptografia de tráfego de ponta a ponta usando TLS (anteriormente SSL) nas redes que usam conexões HTTP seguras (HTTPS). Quando o TLS é usado, o certificado do servidor TLS usado para finalizar as conexões do cliente pode ser gerenciado centralmente no balanceador de carga, em vez de em cada instância individual.

HTTPS / TLS usa uma chave secreta de longo prazo para gerar uma chave de sessão de curto prazo a ser usada entre o servidor e o navegador para criar a mensagem criptografada. O Elastic Load Balancing configura seu balanceador de carga com um conjunto de códigos predefinido usado para negociação TLS quando uma conexão é estabelecida entre um cliente e seu balanceador de carga.

O conjunto de cifras predefinido fornece compatibilidade com uma ampla variedade de clientes e usa algoritmos criptográficos robustos. No entanto, alguns clientes podem ter requisitos para permitir apenas cifras e protocolos específicos (por exemplo, PCI DSS], Sarbanes-Oxley Act [SOX]) dos clientes para garantir que os padrões sejam atendidos. Nesses casos, o Elastic Load Balancing fornece opções para selecionar configurações diferentes para protocolos e cifras TLS. Você pode optar por ativar ou desativar as cifras, dependendo de seus requisitos específicos.

 

Segurança da nuvem virtual privada da Amazon (Amazon VPC)

Normalmente, cada instância do Amazon EC2 iniciada recebe aleatoriamente um endereço IP público no espaço de endereço do Amazon EC2.

O Amazon VPC permite criar uma parte isolada da nuvem da AWS e iniciar instâncias do Amazon EC2 com endereços privados (RFC 1918) no intervalo de sua escolha (por exemplo, 10.0.0.0/16).

Você pode definir sub-redes no Amazon VPC, agrupando tipos semelhantes de instâncias com base no intervalo de endereços IP e, em seguida, configurar o roteamento e segurança para controlar o fluxo de tráfego dentro e fora das instâncias e sub-redes.

Os recursos de segurança no Amazon VPC incluem grupos de segurança, ACLs de rede, tabelas de roteamento e gateways externos. Cada um desses itens é complementar ao fornecimento de uma rede segura e isolada que pode ser estendida por meio da habilitação seletiva de acesso direto à Internet ou conectividade privada a outra rede.

As instâncias do Amazon EC2 em execução no Amazon VPC herdam todos os benefícios descritos abaixo relacionados ao SO convidado e à proteção contra detecção de pacotes. Observe, no entanto, que você deve criar grupos de segurança especificamente para o Amazon VPC; quaisquer grupos de segurança do Amazon EC2 que você criou não funcionarão dentro do seu Amazon VPC.

Além disso, os grupos de segurança do Amazon VPC possuem recursos adicionais que os grupos de segurança do Amazon EC2 não possuem, como alterar o grupo de segurança após o lançamento da instância e especificar qualquer protocolo com um número de protocolo padrão (em vez de apenas TCP, User Datagram Protocol [UDP] ou Internet Control Message Protocol [ICMP]).

Cada Amazon VPC é uma rede distinta e isolada dentro da nuvem; o tráfego de rede em cada Amazon VPC é isolado de todos os outros Amazon VPCs. No momento da criação, você seleciona um intervalo de endereços IP para cada Amazon VPC. Você pode criar e conectar um gateway da Internet, gateway virtual privado ou ambos para estabelecer conectividade externa, sujeito aos seguintes controles.

Chamadas de acesso à API para criar e excluir Amazon VPCs; alterar os parâmetros de roteamento, grupo de segurança e ACL da rede; e executar outras funções são todas assinadas pela chave de acesso secreto da Amazon, que pode ser a chave de acesso secreto da conta da AWS ou a chave de acesso secreto de um usuário criado com o AWS IAM. Sem acesso à sua chave de acesso secreto, as chamadas à API do Amazon VPC não podem ser feitas em seu nome. Além disso, as chamadas de API podem ser criptografadas com SSL para manter a confidencialidade.

A AWS recomenda sempre o uso de terminais de API protegidos por SSL. O AWS IAM também permite que um cliente controle ainda mais quais APIs um usuário recém-criado tem permissão para chamar.

Sub-redes e tabelas de rotas Você cria uma ou mais sub-redes dentro de cada Amazon VPC; cada instância iniciada no Amazon VPC é conectada a uma sub-rede. Os ataques de segurança tradicionais da camada 2, incluindo falsificação de MAC e falsificação de ARP, são bloqueados. Cada sub-rede em um Amazon VPC é associada a uma tabela de roteamento e todo o tráfego de rede que sai da sub-rede é processado pela tabela de roteamento para determinar o destino.

 

Firewall (grupos de segurança)

Como o Amazon EC2, o Amazon VPC suporta um firewall de solução completa, permitindo a filtragem no tráfego de entrada e saída de uma instância. O grupo padrão permite a comunicação de entrada de outros membros do mesmo grupo e a comunicação de saída para qualquer destino.

O tráfego pode ser restringido por qualquer protocolo IP, porta de serviço e endereço IP de origem / destino (bloco individual de IP ou CIDR). O firewall não é controlado pelo sistema operacional convidado; em vez disso, só pode ser modificado através da invocação de APIs do Amazon VPC.

A AWS suporta a capacidade de conceder acesso granular a diferentes funções administrativas nas instâncias e no firewall, permitindo, assim, implementar segurança adicional por meio da separação de tarefas.

O nível de segurança oferecido pelo firewall é uma função de quais portas você abre e por qual duração e finalidade. O gerenciamento de tráfego e o design de segurança bem informados ainda são necessários por instância.

A AWS ainda recomenda que você aplique filtros adicionais por instância com firewalls baseados em host, como IPtables ou Windows Firewall.

 

ACLs de rede

 

Para adicionar uma camada adicional de segurança ao Amazon VPC, você pode configurar as ACLs de rede. Esses são filtros de tráfego sem estado que se aplicam a todo o tráfego de entrada ou saída de uma sub-rede no Amazon VPC.

 

Essas ACLs podem conter regras ordenadas para permitir ou negar tráfego com base no protocolo IP, por porta de serviço e endereço IP de origem / destino.

Como grupos de segurança, as ACLs de rede são gerenciadas por meio de APIs do Amazon VPC, adicionando uma camada adicional de proteção e permitindo segurança adicional por meio da separação de tarefas.

 

Gateway Privado Virtual

Um gateway privado virtual permite conectividade privada entre o Amazon VPC e outra rede. O tráfego de rede em cada gateway privado virtual é isolado do tráfego de rede em todos os outros gateways privados virtuais.

Você pode estabelecer conexões VPN para o gateway privado virtual a partir de dispositivos de gateway em suas instalações. Cada conexão é protegida por uma chave pré-compartilhada em conjunto com o endereço IP do cliente de dispositivo de gateway.

 

Gateway de Internet

Um gateway da Internet pode ser anexado a um Amazon VPC para permitir conectividade direta ao Amazon S3, outros serviços da AWS e a Internet. Cada instância que deseja esse acesso deve ter um IP Elastic associado a ele ou rotear o tráfego através de uma instância de Network Address Translation (NAT)

 

Instâncias dedicadas

Em um Amazon VPC, você pode iniciar instâncias do Amazon EC2 que são fisicamente isolados no nível do hardware do host (ou seja, eles serão executados no hardware de um único inquilino).

Um Amazon VPC pode ser criado com locação “dedicada”, para que todas as instâncias iniciadas no Amazon VPC usem esse recurso.

Como alternativa, um Amazon VPC pode ser criado com locação “padrão”, mas você pode especificar a locação dedicada para instâncias específicas lançado nele.