4.6 min branjaStoritve v oblaku

Varnost vaših omrežij v AWS zahteva razmišljanje o oblaku, ne razmišljanje o podatkovnem centru

Aleksey Divarov
Aleksey DivarovCloud Infrastructure Engineer
An image of a server room with blue lights.

Ne glede na to, ali vaša organizacija šele začenja potovanje v oblak ali ste že migrirali večino vaše lokalne infrastrukture, je pomembno, da se zavedate tega: vaše oblačno okolje ni podatkovni center. Tudi če ste začeli z neposredno premestitvjo (lift-and-shift), bodo stvari v oblaku drugačne. Zato je najbolje, da svoje oblačne temelje zgradite prav že od začetka.

Ena od področij, kjer je to še posebej pomembno, so povezovanja omrežij. Na primer, Amazon Web Services (AWS) ponuja številne omrežne zmogljivosti, ki niso na voljo – ali pa so izredno drage – v okolju podatkovnega centra. Če ste navajeni poslovati v lokalnem okolju, je enostavno spregledati nekatere od teh zmogljivosti pri nastavljanju omrežnih povezav in zaščite.

V tem blogu zapisu bom raziskal nekaj ključnih orodij in storitev za omrežno povezovanje v AWS. Začnimo z optimizacijo začetne nastavitve omrežja v AWS.

Gradnja omrežne osnove

Začnite z AWS varnostnimi skupinami (SG) in seznami za nadzor omrežnega dostopa (NACL). V Amazon Virtual Private Cloud (VPC) varnostne skupine delujejo kot virtualni požarni zidovi, ki vam omogočajo nadzor prometa do in iz vašega okolja na ravni virov. Lahko ustvarite pravila za promet na podlagi izvornih IP naslovov, številk vrat, protokolov in drugih dejavnikov.

NACL zagotavljajo dodatno plast za nadzor prometa na ravni omrežja in vam omogočajo ustvarjanje pravil "odbijanja". NACL so brez stanja, zato če jih uporabite za dovoljenje prihajajočega prometa v omrežje, boste morali dovoliti tudi odhajajoči promet iz istega omrežja.

Nato razmislite o uvedbi AWS Network Firewall. To je AWS-ova storitev, ki jo je enostavno nastaviti in ponuja prilagodljiv sistem za ustvarjanje pravil. Omogoča vam bolj natančen in centraliziran nadzor omrežne varnosti v vaših VPC-jih. Avtomatsko se prilagodi vašemu omrežnemu prometu in omogoča vpogled ne samo v omrežno in transportno plast, ampak tudi v aplikacijsko plast.

Za zaščito aplikacij posebej razmislite o uporabi AWS Web Application Firewall (AWS WAF). Ta stoji pred vašo spletno aplikacijo in filtrira promet v obe smeri, kar vam pomaga blokirati zlonamerne ali nezaščitene dejavnosti. Obstaja tudi AWS Shield, ki uporablja dinamično zaznavanje in samodejne ukrepe za zaščito vaših aplikacij pred napadi za zavrnitev storitve (DDoS).

Druge možnosti za optimizacijo povezav

V konzoli AWS Systems Manager boste našli Session Manager. Z uporabo tega se lahko varno povežete z aplikacijami, virtualnimi računalniki, strežniki v lokalnem okolju in drugimi viri, ki niso javno dostopni – brez potrebe po uporabi bastion gostiteljev ali skakalnih postaj. S tem da odpravi potrebo po uporabi protokolov SSH ali RDP za dovoljenje dostopa v vaše omrežje, Session Manager zmanjšuje potencialni prostor za napad zlonamernih akterjev. Prav tako vam omogoča izvajanje upravljanja dostopa, ki omejuje vstop v različne vire na podlagi uporabniškega imena ali vloge.

Virtualna zasebna omrežja (VPN) so drugo pomembno orodje, ko gre za omrežno varnost. Ta omrežja uporabljajo šifriranje, da omogočijo varno povezovanje z viri – ne glede na to, ali so javno dostopni ali ne – preko nezavarovanih omrežij.

Ko gre za varnost v AWS oblaku, imate tudi možnost omogočiti varne omrežne povezave med lokalnimi lokacijami in vašim oblačnim okoljem. AWS Direct Connect zagotavlja povezavo z nizko latenco med viri z uporabo komunikacijskih omrežij AWS partnerjev namesto interneta. Za dodatno varnost lahko šifrirate svoj promet preko Direct Connect z uporabo VPN ali MacSec.

Nedavni dodatek k AWS Direct Connect je funkcija SiteLink. Ta omogoča prenos občutljivih podatkov z uporabo osnovnega omrežja AWS in različnih AWS Direct Connect mest. Na primer, namesto da bi morali postaviti lastno povezavo med dvema lokalnima podatkovnima centroma, ju lahko preprosto povežete z uporabo AWS Direct Connect in SiteLink. To omogoča hitro, nizko-latentno medpovezovanje brez potrebe po uporabi interneta ali storitev tretjih oseb, kar je idealno za organizacije, ki morajo deliti podatke med lokacijami in hkrati spoštovati stroge predpise o varstvu podatkov in varnosti.

Še ena izmed novejših AWS omrežnih storitev je AWS Cloud WAN. Ta še ni na voljo povsod, vendar ponuja enotno centralizirano nadzorno ploščo, ki vam omogoča enostavno povezovanje različnih omrežnih priponk, lokacij in regij po vsem svetu z uporabo osnovnega omrežja AWS. Z uporabo te plošče boste imeli popoln vpogled v varnost in zmogljivost vseh vaših omrežij – v lokalnem okolju in v oblaku.

Kje poiskati podporo na poti do varnosti v oblaku

Ne glede na to, kako daleč ste na svoji poti migracije v oblak, AWS zagotavlja odličen vpogled in dokumentacijo o najboljših praksah, da boste lahko zagotovili varno in skladno omrežno dejavnost.

Kot izkušen AWS partner vam lahko pomagamo pri vodenju varnostnih skupin in seznamov omrežnega dostopa za zaščito perimetra, centraliziramo nadzor prometa z AWS Transit Gateway in AWS Network Firewall, vam pomagamo zaščititi rob vaših aplikacij z AWS Web Application Firewall in vas podpiramo pri varnem povezovanju vaših trenutnih okolij med seboj in z AWS okoljem. In če ste globalno podjetje, ki deluje v več regijah, vam lahko pomagamo postaviti globalno omrežje z uporabo AWS Cloud WAN.

Izvedite več ali začnite že danes z naslednjim korakom v vašem potovanju v oblak s storitvami oblaka AWS.

Kontaktirajte naše strokovnjake za AWS

Preberite več o prehodu v oblak AWS

Želite izvedeti več? Poiščite vse prihodnje prispevke na blogu, ki bodo podrobneje predstavili, kako zgraditi trdne temelje za posodobitev oblaka. Osredotočili se bomo na več ključnih področij:

A building with many windows and a blue sky.

Optimizirajte vašo pot v oblak

Izberite izkušenega partnerja za migracijo v oblak. Izvedite, kako vam lahko SoftwareOne pomaga začeti na trdnih temeljih poslovanja v oblaku in pospešiti rezultate.

Optimizirajte vašo pot v oblak

Izberite izkušenega partnerja za migracijo v oblak. Izvedite, kako vam lahko SoftwareOne pomaga začeti na trdnih temeljih poslovanja v oblaku in pospešiti rezultate.

Avtor

Aleksey Divarov

Aleksey Divarov
Cloud Infrastructure Engineer

Cloud infrastructure engineer with more than 19 years of experience, AWS Partner accreditation in business, technical and cloud economics, along with AWS certifications as a professional solutions architect and advanced networking specialist.