Технологии безопасности не стоят на месте и постоянно развиваются. Онлайн-безопасности уделяется значительное внимание в таких отраслях как бухучет, кадры, коммуникации, общение, обучение, а также автоматизация производства и сельского хозяйства. Однако наиболее важен фактор кибербезопасности в облачных технологиях, получивших серьезный импульс развития в период коронавируса и вынужденного перехода бизнеса на "удаленку".
Одной из наиболее эффективных методов управления безопасностью облака является сервис Virtual Private Cloud, столь успешно интегрированный компанией Amazon в их облачный сервис.
Amazon Virtual Private Cloud что это и зачем он нужен?
Amazon VPC — это одна из функций платформы Amazon Web Services (AWS), которая дает возможность использовать ресурсы данной платформы в безопасной и полностью автономной виртуальной сети. Компонентами VPC являются различные IP-адреса, подсети, таблицы маршрутов, шлюзы, сетевые интерфейсы, конечные точки и многое другое.
Несмотря на то, что в Amazon неплохо позаботились об обеспечении безопасности пользователей AWS и их личных данных, Вы также должны владеть базовыми навыками настройки и управления своим VPC. Это необходимо для обеспечения должного уровня безопасности размещенных данных, работающих серверов и активных приложений.
Сегодня мы поделимся с Вами 5 советами о том, как сделать работу VPC максимально безопасной:
Не надейтесь на шаблоны — создайте свое собственное VPC
Хотя Amazon предоставляет Вам готовое виртуальное частное облако с рядом самых необходимых функций, лучше всего не использовать VPC, предоставляемый по умолчанию. Подумайте о построении нового VPC.
Это можно объяснить достаточно просто: конфигурация безопасности встроенного VPC уже давно находится в открытом доступе и тщательно изучена другими пользователями. В том числе недобросовестными.
Пользователи AWS часто жалуются на утечки и попытки похищения их личных данных. Конечно, Вы можете использовать привычный Вам VPN для обеспечения конфиденциальности данных и анонимности пребывания в Интернете. Более того, самые решения освещены в обзоре лучших VPN от экспертов по кибербезопасности.
Но все же, создание уникального VPC с известной только Вам таблицей маршрутов трафика – это надёжная защита от хакерских атак на Ваше облако.
Создайте больше одного VPC, даже если Вам нужен лишь один
Даже если для удовлетворения нужд Вашего бизнеса хватит и одного работающего VPC, Все равно было бы неплохо начать работу с создания по крайней мере двух VPC:
- первый Вам пригодиться для проведения тестирования работы облачного сервиса,
- во втором Вы сможете развертывать готовые сервера, приложения и массивы данных.
Опытные разработчики рекомендуют: всегда проводите тестирование отдельно от производственной среды. Если что-то пойдет не так, то негативные последствия от результата будут сведены к нулю.
Данное правило кажется очевидным для любого человека, знакомого с облачными сервисами других типов, но почему-то часто о нем забывают при работе с Amazon Virtual Private Cloud. Возможно это происходит потому, что AWS используется для построения различных корпоративных сред, в специфику которых не всегда включается гибкая модель разработки.
Используйте группы безопасности (security groups) вместо NACL
Группы безопасности в облачных технологиях представляют собой виртуальные брандмауэры, с помощью которых контролируется весь входящий и исходящий из Вашего VPC трафик. Security groups в AWS выполняют исключительно разрешительные функции – они не дают возможность установить какие-либо запреты на движение трафика.
Когда вы создаете новую группу безопасности для VPC, она автоматически разрешает отправку неограниченного исходящего трафика, но при этом достаточно сильно ограничивает прием входящего трафика. С точки зрения безопасности, данная конфигурация наиболее оптимальна, однако с практической точки зрения, она не очень удобна.
Иными словами, от пользователя требуется дополнительная настройка параметра “Security groups”. Чтобы разрешить определенные формы входящего трафика в развернутое виртуальное частное облако, Вы должны самостоятельно создать правила, позволяющие такому трафику поступать внутрь Вашей сети.
С другой стороны, в любом VPC (и AWS – не исключение) имеется функция NACL (список контроля доступа к сети). Она представляет собой еще одну форма виртуального брандмауэра, который Вы можете использовать для управления внутренним и внешним потоком трафика в Вашем VPC. Активация данной функции автоматически блокируют весь входящий и исходящий из Вашего облака трафик.
Главное преимущество Групп безопасности перед NACL – это их распределённость. Все правила безопасности в Security groups могут применяться единовременно, в то время как в NACL применяются согласно приоритету (к примеру, правило под номером 1 обрабатывается первым, затем уже обрабатываются другие правила). Иными словами, Группы безопасности оценивают все существующие в VPC правила, прежде чем разрешить входящий или исходящий трафик, тогда как NACL делает это в порядке очереди, сверху вниз.
Именно по этой причине, многие эксперты по облачным технологиям советуют отдавать предпочтение именно Группам безопасности, как более надёжному решению для построения безопасных корпоративных сетей в облаке.
Надеемся, что эта статья была для Вас полезной. Облачная безопасность только и ее терминология только на первый взгляд являются сложными для освоения. Потратив немного своего драгоценного времени и разобравшись в базовых понятиях работы VPC и, в частности, AWS, Вы приобретёте необходимые навыки, которые Вам пригодятся при переходе от устаревшего формата «офисного» бизнеса к бизнес-модели, построенной на облачных технологиях. Это точно того стоит!
