Segurança na nuvem com Log360Segurança na nuvemO que é Amazon VPC

Um guia completo sobre Amazon VPC.

 
  • O que é Amazon VPC?
  • Como funciona
  • Benefícios de usar a Amazon VPC
  • Quais tipos de organização precisam das Amazon VPCs?
  • Emeplos/casos de uso de usar a Amazon VPC
  • Importância de monitorar a Amazon VPC
 

O que é Amazon VPC?

A Amazon Virtual Private Cloud (VPC) é um serviço comercial de computação em nuvem que permite aos usuários criar uma seção logicamente isolada dentro da AWS Cloud. Dentro dessa seção isolada, os usuários podem lançar recursos da AWS em uma rede virtual autodefinida. Essencialmente, permite que os usuários criem recursos como instâncias EC2, bancos de dados e outros serviços da Amazon Web Services (AWS) dentro de uma seção privada e isolada da AWS Cloud.

A AWS fornece VPC para empresas como uma solução para melhor segurança na nuvem. Com essa solução, as organizações podem lançar seus recursos em um espaço de nuvem virtual que pode ser acessado de forma privada, adicionando camadas de segurança aos seus recursos na nuvem.

Cada conta da Amazon criada após 2013 vem com uma VPC padrão pré-configurada. Portanto, os usuários podem lançar instâncias imediatamente sem precisar configurar nada. A VPC padrão é pré-configurada com:

  • Um bloco CIDR IPv4 de tamanho /16 que fornece até 65.536 endereços IPv4.
  • Uma sub-rede de tamanho /20 em cada zona de disponibilidade que oferece 4.096 endereços por sub-rede.
  • Um gateway de Internet conectado à VPC.
  • Um grupo de segurança padrão e um NACL padrão.

Arquitetura e funcionamento das VPCs

A arquitetura da VPC consiste em:

  • Fundação e estrutura: A infraestrutura central da AWS Cloud serve como base para a Amazon VPC. Os recursos de nuvem de uma organização requerem isolamento e segmentação de rede, que a VPC fornece como estrutura.
  • Sub-redes: Você pode segregar seus recursos logicamente na Amazon VPC criando sub-redes. Cada sub-rede tem uma função distinta. Por exemplo, você pode ter uma sub-rede para servidores Web, outra para servidores de aplicação e uma terceira para bancos de dados.
  • Controle de acesso: Os grupos de segurança e listas de controle de acesso de rede (NACLs) são usados na Amazon VPC para gerenciar o controle de acesso. Eles atuam como portões virtuais, controlando o fluxo de tráfego dentro e fora das sub-redes e instâncias, com base em regras definidas.
  • Utilitários e serviços: Gateways de Internet para conectividade com a Internet, gateways NAT para acesso à Internet de saída, conexões VPN para comunicação segura e conexão direta para conexões de rede dedicadas à sua infraestrutura local são apenas alguns dos serviços e ferramentas que a AWS oferece com a Amazon VPC para dar suporte à sua infraestrutura virtual. Por exemplo, você pode usar um gateway de Internet para configurar o acesso à Internet com a VPC, permitindo que os recursos dentro da sua VPC se conectem à Internet de forma privada ou troquem dados.
  • Segurança e monitoramento: Firewalls de rede, criptografia, ferramentas de monitoramento e capacidades de registro são alguns dos recursos de segurança na Amazon VPC que protegem seu ambiente virtual contra acesso não autorizado e atividades maliciosas.
  • Extensão e renovação: Você pode escalar e modificar a infraestrutura de rede com a Amazon VPC conforme necessário para adaptar políticas de segurança, integrar novos serviços da AWS e adicionar ou excluir sub-redes com facilidade para atender às necessidades de negócios em evolução.

Antes de aprofundar no funcionamento dela, vamos entender os conceitos-chave necessários para a Amazon VPC operar corretamente.

VPC padrão

Cada região tem uma VPC padrão configurada quando você registra uma conta AWS. Com esse ambiente pronto para uso, você pode começar a implantar instâncias imediatamente. A Amazon Elastic Compute Cloud (EC2) é o serviço da Amazon Web Service que você usa para criar e executar máquinas virtuais na nuvem. Cada instância de EC2 que você implanta na VPC padrão tem um endereço IP privado e público, facilitando a comunicação entre as instâncias e a Internet com a ajuda da infraestrutura da AWS.

Gerando VPCs extras

Você pode dividir sua rede em diferentes segmentos criando mais VPCs. Por exemplo, você pode manter VPCs distintas para ambientes de desenvolvimento e de produção. O isolamento e a segurança dos seus diferentes ambientes são garantidos pela completa independência dessas VPCs extras de qualquer outra VPC na sua rede.

Uma nova VPC é lançada com um intervalo de endereços IP, roteador, NACL, grupos de segurança padrão e tabela de rotas próprios. Além disso, você pode aumentar o número de sub-redes, grupos de segurança, ACLs de rede etc., com base nas necessidades do seu projeto.

Embora a VPC padrão seja ótima para lançar novas instâncias, as políticas de IAM não se aplicam a ela. Criar uma VPC permite aos usuários definir e personalizar sua rede virtual para que ela siga as políticas de IAM da organização, tornando-a mais segura e confiável.

Configurando a sub-rede

Sub-redes são um intervalo de endereços IP na VPC. Você pode estabelecer uma ou mais dentro da sua VPC. Elas não têm permissão para navegar por zonas de disponibilidade; e devem residir completamente dentro de uma zona de disponibilidade. Elas podem ser definidas para vários usos. Por exemplo, sub-redes privadas para recursos que não devem estar diretamente disponíveis na Internet e sub-redes públicas para recursos que são acessíveis na Internet.

Definindo tabelas de rotas

Tabelas de rotas são a espinha dorsal do fluxo de tráfego de rede. Elas são uma coleção de regras, ou rotas, que especificam a direção em que o tráfego de rede deve ser enviado. Uma tabela de rotas, que gerencia o roteamento da sub-rede, precisa ser conectada a cada sub-rede na sua VPC. Embora você possa vincular mais de uma sub-rede a uma única tabela de rotas, cada sub-rede pode ter apenas uma tabela de rotas conectada por vez.

Gateway de Internet

Um elemento essencial que fornece uma rota para o tráfego de rede entre sua Amazon VPC e a Internet é um gateway de Internet. Ele é um componente gerenciado pela AWS projetado para ser altamente disponível e escalável, garantindo confiabilidade e desempenho.

O gateway de Internet desempenha dois papéis críticos. Primeiro, ele serve como uma rota pela qual sua VPC pode se comunicar com a Internet. Depois, ele realiza a NAT (Network Address Translation), ou Tradução de Endereços de Rede, para instâncias a que foram atribuídas endereços IPv4 públicos.

O gateway de Internet é essencial de duas maneiras:

  • Ele atua como um conduíte para a comunicação entre sua VPC e a Internet.
  • Ele lida com a NAT para instâncias que têm endereços IPv4 públicos atribuídos a elas.

Um gateway de Internet deve ser anexado à sua VPC para permitir o acesso à Internet dentro dele. Além disso, você deve garantir que as instâncias tenham endereços IP roteados publicamente (IPs públicos ou elásticos) e alterar a tabela de rotas da sua sub-rede para direcionar o tráfego para o gateway de Internet.

Conexão VPN

A comunicação segura pela Internet entre sua rede local e sua VPN (Virtual Private Network), ou Rede Privada Virtual, é possibilitada por uma conexão VPN. Ao estender com segurança sua infraestrutura de rede atual para a nuvem da AWS, você pode integrar perfeitamente recursos e aplicações hospedados na AWS com aqueles no seu datacenter ou escritório local.

Emparelhamento de VPC

O emparelhamento de VPC é uma conexão de rede que permite rotear o tráfego de forma privada entre duas VPCs, seja dentro da mesma região ou em regiões AWS separadas. Instâncias de VPC emparelhadas podem se comunicar entre si como se estivessem na mesma rede.

Conexões de emparelhamento transitivo não são suportadas pelo emparelhamento de VPC. Se, por exemplo, existe conexões de emparelhamento de VPC entre a VPC A e a VPC B, bem como entre a VPC A e a VPC C, mas você não pode rotear o tráfego da VPC B para a VPC C através da VPC A, você precisará estabelecer uma conexão de emparelhamento de VPC entre a VPC B e a VPC C para transportar o tráfego entre elas.

Consulte a figura 1 abaixo que mostra como os componentes mencionados acima funcionam juntos.

Segurança da Amazon VPC

Figura 1: Arquitetura e funcionamento da Amazon VPC

  • Esta VPC é totalmente autossuficiente e isolada. É uma restrição lógica que estabelece um limite compartilhado de rede e segurança para suas aplicações e serviços.
  • As instâncias só poderão se comunicar entre si dentro da VPC. Você tem controle total sobre como as instâncias acessam recursos fora das VPCs.
  • Neste caso, um endereço IP público é atribuído à instância e um gateway de Internet é anexado à VPC para fornecer conectividade à Internet.
  • A sub-rede pública sempre terá uma rota para sair para a internet. Aqui, por exemplo, você pode colocar servidores que hospedariam páginas públicas da Web.
  • Por outro lado, a sub-rede privada não tem a rota. Por exemplo, você pode colocar seus bancos de dados críticos aqui. Isso fornecerá uma camada extra de proteção de segurança contra o mundo exterior.
  • Você também pode conectar a VPC ao nosso próprio datacenter corporativo usando a conexão VPN site-a-site, tornando a nuvem AWS uma extensão do seu datacenter.
  • Uma conexão de emparelhamento de VPC deve ser estabelecida para rotear o tráfego discretamente entre duas VPCs e permitir que instâncias em qualquer uma das VPCs se comuniquem entre si como se estivessem na mesma rede.
  • Como cada VPC abrange uma única área, podemos ter certeza de que todas as instâncias dentro dela estão fisicamente localizadas lá e que não há conexão fora da região entre elas.

No entanto, você se pergunta como a sub-rede privada chega à Internet sem a rota?

Segurança da Amazon VPC

Figura 2: Gateways de NAT nas Amazon VPCs

Nessas situações, você adiciona uma rota a partir da sua instância privada para um gateway de NAT que foi estabelecido na sub-rede pública. Em seguida, adicionamos um gateway de NAT ao gateway da Internet. Seus recursos na sub-rede privada agora podem acessar a internet (consulte a Figura 2).

As duas maneiras de controlar o fluxo de tráfego são as seguintes:

  • NACLs: Firewalls sem estado que regulam o tráfego no nível da sub-rede são chamados de NACLs. Eles são opcionais, mas os NACLs são úteis para criar regras que permitem ou negam a comunicação de e para sub-redes dentro da sua VPC. Essas regras só podem ser usadas com endereços IP para permitir ou negar o endereço IP.
  • Grupo de segurança: Grupos de segurança gerenciam o tráfego para uma ou mais instâncias funcionando como um firewall virtual. Regras que permitem o tráfego (apenas permitem) de e para instâncias podem ser definidas dependendo de parâmetros como o protocolo, a porta e os endereços IP de origem e destino.

Benefícios de usar a Amazon VPC:

  • Segurança adicional através do isolamento: Os usuários podem criar várias redes virtuais com a Amazon VPC e cada uma é separada das outras. Recursos em uma VPC são protegidos de comunicação direta com recursos em outra VPC devido a esse isolamento, a menos que seja especificamente permitido que se comuniquem.
  • Atenda requisitos de negócios através de configurações personalizadas: Os usuários têm controle total sobre o intervalo de endereços IP, sub-redes, tabelas de rotas e gateways de rede dentro de suas VPCs. Isso torna possível criar configurações de rede únicas para satisfazer certas necessidades.
  • Controles de acesso eficazes através de capacidades de segurança: Para regular o tráfego de entrada e saída para e das instâncias, a VPC oferece capacidades de segurança, incluindo grupos de segurança e listas de controle de acesso à rede (ACLs). Isso facilita a implementação de políticas de segurança e controles de acesso na VPC.
  • Opções de conectividade: Existem várias maneiras de conectar uma Amazon VPC à internet, a datacenters locais ou a outras VPCs. Essas opções incluem: AWS Direct Connect, conexões VPN, gateways de Internet e gateways privados virtuais.
  • Melhoria de desempenho com sub-redes: É possível para os usuários dividirem suas VPCs em sub-redes, cada uma residindo em uma zona de disponibilidade específica dentro de uma determinada região da AWS. Melhoria na tolerância a falhas, escalabilidade e gerenciamento de recursos são possíveis através da sub-rede.
  • Custo-benefício: Pagando apenas pelos recursos que você usa, a VPC permite otimizar seus custos. Você também pode consolidar sua infraestrutura de rede com a VPC, o que elimina a necessidade de hardware de rede separado e simplifica a gestão.

Quais tipo de organizações precisam das Amazon VPCs?

Muitos tipos diferentes de organizações podem se beneficiar da Amazon VPC, mas aquelas com requisitos de rede complexos ou requisitos rigorosos de segurança e conformidade têm mais a ganhar. Usar a Amazon VPC pode ser vantajoso para os seguintes tipos de organizações:

  • Empresas: Com a Amazon VPC, grandes empresas com uma variedade de necessidades de infraestrutura de TI podem criar redes escaláveis e seguras para seus serviços e aplicações. A VPC pode lidar com as várias necessidades de rede que as empresas têm, incluindo múltiplos datacenters, configurações de nuvem híbridas e requisitos regulatórios.
  • Startups e pequenas empresas: A Amazon VPC é vantajosa mesmo para pequenas organizações e startups, especialmente se elas antecipam um crescimento rápido ou têm necessidades específicas de segurança e conformidade. Elas podem criar redes seguras e escaláveis com a VPC sem ter que fazer um investimento inicial caro em infraestrutura física.
  • Empresas de e-commerce: A Amazon VPC ajuda empresas de e-commerce que dependem da AWS para hospedar suas lojas on-line a garantir tanto a confiabilidade quanto a segurança de suas aplicações de e-commerce. A VPC permite que elas isolem sua infraestrutura de e-commerce de outras partes do seu ambiente de TI e implementem medidas de segurança avançadas para proteger os dados dos clientes.
  • Instituições financeiras: A natureza sensível dos dados financeiros significa que instituições financeiras, como bancos, companhias de seguros e empresas de investimento, devem aderir a padrões rigorosos de segurança e conformidade. Suas aplicações e serviços financeiros podem ser hospedados em redes altamente seguras e em conformidade via Amazon VPC. Para saber mais sobre como a Amazon VPC pode ajudar a melhorar a postura de segurança do setor financeiro, confira esta página.
  • Organizações de saúde: Instituições de saúde que lidam com informações de saúde confidenciais devem seguir os requisitos do HIPAA e outros. A Amazon VPC fornece os controles de segurança e os recursos de conformidade necessários para construir ambientes compatíveis com o HIPAA para hospedar sistemas de EHR (Electronic Health Records), ou Registros Eletrônicos de Saúde, e aplicações de saúde. Para saber mais sobre como a Amazon VPC pode ajudar a melhorar a postura de segurança do setor da saúde, confira esta página.
  • Agências governamentais: Ao usar a Amazon VPC, agências governamentais e organizações do setor público podem criar ambientes seguros e compatíveis para hospedar aplicações e serviços governamentais, mesmo diante de rigorosas regulamentações de segurança e conformidade. Com a VPC, elas podem aproveitar a escalabilidade e a flexibilidade da AWS Cloud enquanto ainda atendem aos padrões regulatórios.
  • Empresas de mídia e entretenimento: Ao usar a Amazon VPC, organizações de mídia e entretenimento podem criar redes escaláveis e resilientes para entrega de conteúdo, incluindo serviços de streaming, CDNs (Content Distribution Networks), ou redes de distribuição de conteúdo, e plataformas de mídia digital. Elas podem garantir ótimo desempenho e disponibilidade para sua infraestrutura de distribuição de mídia através da VPC.
  • Setor educacional: Para armazenar e gerenciar com segurança dados confidenciais de estudantes e recursos acadêmicos em um ambiente privado e isolado e para garantir conformidade com as regras de segurança de dados, o setor educacional precisa da Amazon VPC. Ela oferece infraestrutura escalável que facilita o acesso e o desempenho contínuos para plataformas de aprendizado on-line e aplicações educacionais. Além disso, ela melhora a segurança permitindo que as instituições controlem as configurações de rede, incluindo fluxo de tráfego e permissões de acesso, protegendo contra ameaças cibernéticas. Para saber mais sobre como a Amazon VPC pode ajudar a melhorar a postura de segurança do setor educacional, confira esta página.

Casos de uso da Amazon VPC

Considere o caso de uso de uma empresa de desenvolvimento de software que deve manter restrições de acesso rigorosas e isolamento de rede enquanto hospeda com segurança sua infraestrutura de banco de dados e aplicações Web na nuvem. Esta empresa deseja migrar sua infraestrutura de banco de dados e aplicação Web para a nuvem. Ela quer um sistema que forneça alta segurança, escalabilidade e flexibilidade porque possui dados confidenciais de clientes que precisam ser protegidos.

A empresa de desenvolvimento de software decide usar a Amazon VPC para hospedar sua infraestrutura de aplicação Web e banco de dados com segurança na AWS Cloud. Aqui estão os casos de uso que ela pode atender:

  • Isolamento de rede: Uma nova VPC com sub-redes privadas e públicas é criada. Para se comunicar com a Internet, os servidores Web são colocados em sub-redes públicas e, para maior proteção, os servidores de banco de dados são colocados em sub-redes privadas.
  • Grupos de segurança e ACLs de rede: O grupo de segurança é configurado para gerenciar o tráfego de entrada e saída para suas instâncias de EC2. Por exemplo, o acesso direto aos servidores de banco de dados é proibido, mas o tráfego HTTP/HTTPS para servidores Web da internet é permitido. Para fornecer ainda mais segurança, as ACLs de rede são configuradas para regular o tráfego no nível da sub-rede.
  • Hospedagem de banco de dados: O Amazon RDS é selecionado para o MySQL como sua infraestrutura de banco de dados, porque facilita a configuração, escalabilidade e manutenção de um banco de dados relacional na nuvem. Grupos de segurança também são configurados, de modo que apenas servidores Web tenham acesso permitido, e eles instalam sua instância RDS dentro da sub-rede privada.
  • Conectividade de VPN: Para conectar com segurança a rede do escritório aos recursos da nuvem, uma conexão de VPN é estabelecida entre a rede local e a VPC. Isso possibilita que sua equipe de desenvolvimento use com segurança os recursos da VPC.
  • Monitoramento e registro: Para monitorar seus bancos de dados RDS, instâncias de EC2 e outros recursos da VPC, o Amazon CloudWatch é habilitado. Os VPC Flow Logs também são habilitados para capturar informações sobre o tráfego IP que vai e vem das interfaces de rede em sua VPC para análise de segurança e solução de problemas.
  • Backup e recuperação: Os backups e capturas de tela automáticos do Amazon RDS são usados para configurar backups automatizados para seus bancos de dados RDS, garantindo durabilidade e recuperação de dados.

A empresa de desenvolvimento de software move com sucesso sua arquitetura de banco de dados e aplicação Web para a nuvem enquanto mantém padrões rigorosos de segurança e conformidade utilizando a Amazon VPC. Devido à flexibilidade e escalabilidade dos serviços da AWS, eles podem se concentrar na criação e no aprimoramento de seu software em vez de se preocupar com a manutenção da infraestrutura.

A importância da proteção e do monitoramento da Amazon VPC

A segurança é a principal razão para usar a Amazon VPC. A VPC é uma divisão isolada da nuvem pública da AWS que permite implantar recursos da AWS de maneira segura. Semelhante a muitas provisões da AWS, a Amazon VPC também ajuda a reduzir os custos associados a uma nuvem privada. A VPC é uma das ferramentas que você deve aprender imediatamente se quiser começar a usar a AWS em seu negócio. Embora usar a Amazon VPC ofereça segurança adicional em relação às redes tradicionais, ela ainda precisa ser monitorada e protegida. Numerosos ataques cibernéticos têm como alvo a Amazon VPC.

Uma VPC não segura pode estar sujeita a ameaças cibernéticas. Monitorar a Amazon VPC permite identificar e resolver problemas de forma proativa, otimizar o uso de recursos e garantir a conformidade com os padrões de segurança e regulamentação. Aqui estão algumas outras razões pelas quais manter a segurança da VPC é crucial para fortalecer sua infraestrutura de rede:

  • Melhora do desempenho: Monitorar os componentes essenciais da sua Amazon VPC permite obter insights sobre o desempenho da sua infraestrutura de rede, identificar e resolver problemas antecipadamente e otimizar a utilização dos recursos para um desempenho aprimorado. Os componentes que precisam ser monitorados incluem tráfego de rede, balanceadores de carga, Gateway de NAT, logs de fluxo de VPN, desempenho da conexão da VPN e desempenho de sub-rede.
  • Utilização de recursos: Acompanhar o uso de recursos dentro da VPC, incluindo instâncias de EC2, bancos de dados e outros serviços, ajuda na otimização da alocação de recursos e na identificação de oportunidades de economia de custos.
  • Segurança e conformidade: Identificar possíveis violações de segurança, tentativas de acesso não autorizadas ou atividades incomuns monitorando o tráfego de rede e os padrões de acesso é necessário para manter a segurança e a conformidade da sua infraestrutura.
  • Solução de problemas: Monitorar a taxa de transferência da rede, a latência e as taxas de erro ajudará a resolver rapidamente os problemas antes que eles impactem o desempenho ou a disponibilidade de suas aplicações.
  • Gestão de custos: Identificar os recursos não utilizados ao obter visibilidade do uso dos recursos ajudará a otimizar a infraestrutura para reduzir despesas indesejadas dentro da VPC.

Para saber mais sobre a necessidade de monitorar e proteger a Amazon VPC, confira esta página.

Pronto para o próximo passo?

Explore como você pode proteger as informações sensíveis da sua organização contra o uso indevido. Inscreva-se para uma demonstração personalizada do Log360 da ManageEngine, uma solução abrangente de SIEM que pode ajudá-lo a detectar, priorizar, investigar e responder a ameaças de segurança.

Você também pode explorar por conta própria com uma versão de teste gratuita e totalmente funcional de 30 dias do Log360.

Páginas relacionadas

Como configurar o Amazon VPCComo monitorar o Amazon VPC com o ManageEngine Log360.
Baixe o ManageEngine Log360, uma solução SIEM unificada  
Home » SIEM

Prêmios e reconhecimentos

ManageEngine é reconhecida no Quadrante Mágico de 2024 da Gartner para SIEMEscolha dos Clientes Gartner Peer Insights para SIEM

2022 Gartner SIEM mq

Recursos

Suporte

Secure your IT infrastructure with a cloud SIEM solution

Soluções por setor

Soluções relacionadas