Перейти к основному содержанию

Безопасность трафика в виртуальном частном облаке (VPC)

Virtual Private Cloud — VPC

Технологии безопасности не стоят на месте и постоянно развиваются. Онлайн-безопасности уделяется значительное внимание в таких отраслях как бухучет, кадры, коммуникации, общение, обучение, а также автоматизация производства и сельского хозяйства. Однако наиболее важен фактор кибербезопасности в облачных технологиях, получивших серьезный импульс развития в период коронавируса и вынужденного перехода бизнеса на "удаленку".

Одной из наиболее эффективных методов управления безопасностью облака является сервис Virtual Private Cloud, столь успешно интегрированный компанией Amazon в их облачный сервис.

Amazon Virtual Private Cloud что это и зачем он нужен?

Amazon VPC — это одна из функций платформы Amazon Web Services (AWS), которая дает возможность использовать ресурсы данной платформы в безопасной и полностью автономной виртуальной сети. Компонентами VPC являются различные IP-адреса, подсети, таблицы маршрутов, шлюзы, сетевые интерфейсы, конечные точки и многое другое.

Несмотря на то, что в Amazon неплохо позаботились об обеспечении безопасности пользователей AWS и их личных данных, Вы также должны владеть базовыми навыками настройки и управления своим VPC. Это необходимо для обеспечения должного уровня безопасности размещенных данных, работающих серверов и активных приложений.

Сегодня мы поделимся с Вами 5 советами о том, как сделать работу VPC максимально безопасной:

Не надейтесь на шаблоны — создайте свое собственное VPC

Хотя Amazon предоставляет Вам готовое виртуальное частное облако с рядом самых необходимых функций, лучше всего не использовать VPC, предоставляемый по умолчанию. Подумайте о построении нового VPC.

Это можно объяснить достаточно просто: конфигурация безопасности встроенного VPC уже давно находится в открытом доступе и тщательно изучена другими пользователями. В том числе недобросовестными.

Пользователи AWS часто жалуются на утечки и попытки похищения их личных данных. Конечно, Вы можете использовать привычный Вам VPN для обеспечения конфиденциальности данных и анонимности пребывания в Интернете. Более того, самые решения освещены в обзоре лучших VPN от экспертов по кибербезопасности.

Но все же, создание уникального VPC с известной только Вам таблицей маршрутов трафика – это надёжная защита от хакерских атак на Ваше облако.

Создайте больше одного VPC, даже если Вам нужен лишь один

Даже если для удовлетворения нужд Вашего бизнеса хватит и одного работающего VPC, Все равно было бы неплохо начать работу с создания по крайней мере двух VPC:

  • первый Вам пригодиться для проведения тестирования работы облачного сервиса,
  • во втором Вы сможете развертывать готовые сервера, приложения и массивы данных.

Опытные разработчики рекомендуют: всегда проводите тестирование отдельно от производственной среды. Если что-то пойдет не так, то негативные последствия от результата будут сведены к нулю.

Данное правило кажется очевидным для любого человека, знакомого с облачными сервисами других типов, но почему-то часто о нем забывают при работе с Amazon Virtual Private Cloud. Возможно это происходит потому, что AWS используется для построения различных корпоративных сред, в специфику которых не всегда включается гибкая модель разработки.

Используйте группы безопасности (security groups) вместо NACL

Группы безопасности в облачных технологиях представляют собой виртуальные брандмауэры, с помощью которых контролируется весь входящий и исходящий из Вашего VPC трафик. Security groups в AWS выполняют исключительно разрешительные функции – они не дают возможность установить какие-либо запреты на движение трафика.

Когда вы создаете новую группу безопасности для VPC, она автоматически разрешает отправку неограниченного исходящего трафика, но при этом достаточно сильно ограничивает прием входящего трафика. С точки зрения безопасности, данная конфигурация наиболее оптимальна, однако с практической точки зрения, она не очень удобна.

Иными словами, от пользователя требуется дополнительная настройка параметра “Security groups”. Чтобы разрешить определенные формы входящего трафика в развернутое виртуальное частное облако, Вы должны самостоятельно создать правила, позволяющие такому трафику поступать внутрь Вашей сети.

С другой стороны, в любом VPC (и AWS – не исключение) имеется функция NACL (список контроля доступа к сети). Она представляет собой еще одну форма виртуального брандмауэра, который Вы можете использовать для управления внутренним и внешним потоком трафика в Вашем VPC. Активация данной функции автоматически блокируют весь входящий и исходящий из Вашего облака трафик.

Главное преимущество Групп безопасности перед NACL – это их распределённость. Все правила безопасности в Security groups могут применяться единовременно, в то время как в NACL применяются согласно приоритету (к примеру, правило под номером 1 обрабатывается первым, затем уже обрабатываются другие правила). Иными словами, Группы безопасности оценивают все существующие в VPC правила, прежде чем разрешить входящий или исходящий трафик, тогда как NACL делает это в порядке очереди, сверху вниз.

Именно по этой причине, многие эксперты по облачным технологиям советуют отдавать предпочтение именно Группам безопасности, как более надёжному решению для построения безопасных корпоративных сетей в облаке.

Надеемся, что эта статья была для Вас полезной. Облачная безопасность только и ее терминология только на первый взгляд являются сложными для освоения. Потратив немного своего драгоценного времени и разобравшись в базовых понятиях работы VPC и, в частности, AWS, Вы приобретёте необходимые навыки, которые Вам пригодятся при переходе от устаревшего формата «офисного» бизнеса к бизнес-модели, построенной на облачных технологиях. Это точно того стоит!

Теги

Онлайн-курс по устройству компьютерных сетей

На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

Реклама ИП «Скоромнов Дмитрий Анатольевич» ИНН 331403723315

 

Похожие материалы

ФПСУ-IP/Клиент на виртуальной машине VMware может привести к падению гипервизора

МЭ ФПСУ-IP/Клиент совместно с комплексами ФПСУ-IP обеспечивают надежную и устойчивую защиту информационных ресурсов системы, выполняя функции межсетевого экрана и VPN построителя. Надежность и бесперебойность функционирования комплексов ФПСУ-IP обеспечивается за счет горячего резервирования. Но есть проблемы.

Ошибка при установке Secret Net 7 — не удаётся записать значение в раздел

При установке Secret Net 7 иногда может возникнуть ошибка вида "Не удаётся записать значение в раздел". Дальше идёт указание ветки реестра и значения, которое не удаётся записать. Ошибка наблюдалась на Windows 7 x64 (и x86), а также на Windows Server 2012 R2. Инсталлятор Secret Net 7 запускался от имени администратора. Изменение прав доступа к веткам реестра не помогло решению проблемы.