A Amazon Virtual Private Cloud (Amazon VPC) é um serviço de rede que permite que você crie uma rede virtual isolada na nuvem da Amazon. Com a Amazon VPC, você pode criar uma rede personalizada com sub-redes, roteamento, tabelas de roteamento, gateways de Internet, entre outros recursos, proporcionando controle total sobre sua infraestrutura de rede na nuvem.
-
Sub-rede privada:
Imagine que existe uma instância EC2 no qual acessa o banco de dados, onde devolve alguma informação para outra instÂncia EC2, não faz sentido estar exposto na internet, logo está em uma sub-rede privada.
-
Sub-rede pública:
A instância de sub-rede pública é conectada com a internet, pode receber tanto dados de entrada quanto de saída. É uma instância de um servidor HTTP que pode receber ou fazer requisições, normalmente feitas via Gateway
- Conectividade e Segurança:
-
VPC permite estabelecer conexões VPN (Virtual Private Network) para conectar em sub-rede privada à sua infraestrutura na nuvem:
-
Caso seja necessário mais segurança e velocidade na interação dos recursos, sem ser pela internet em si, ou seja, uma conexão dedicada, com redes isoladas, é possível pela AWS Direct Connect:
-
- Listas de controle de acesso:
A nível de sub-rede, para que os dados trafeguem em uma VPC de forma segura, é bacana utilizar uma configuração que é chamado de Network ACLs (Access Control List). O Network ACL é uma lista de controle de acesso que age como um firewall a nível de sub-rede da VPC (Virtual Private Cloud):
O Network ACLs possui comportamento Stateless, logo não armazena estado, ele tem regras para entradas e saídas de dados. Por exemplo: entrou um pacote dados para um banco, foi verificado e dentro das configurações foi permitida tal entrada, mas isso não significa que a saída vai ser permitida, também será verificada dentro do que foi permitido (pode ser configurada).
- Grupos de Segurança:
A nível de EC2, com recursos como grupos de segurança, o comportamento muda para Stateful, então tudo que pôde entrar, pode sair. Logo só será barrada a entrada, se passou, então a saída não será verificada. Essa é a configuração padrão (pode ser ajusta):
- Personalização: Você pode personalizar sua VPC definindo sub-redes, tabelas de roteamento, gateways de Internet e outros recursos de rede de acordo com suas necessidades.
- Elasticidade: A Amazon VPC é altamente escalável, permitindo a adição de recursos de rede conforme sua infraestrutura cresce.
- Sub-redes: As sub-redes na Amazon VPC são divisões lógicas de sua rede virtual, onde você pode executar recursos e aplicar configurações de segurança.
- Tabelas de Roteamento: As tabelas de roteamento na VPC determinam como o tráfego de rede é encaminhado entre sub-redes, gateways e outros recursos de rede.
- Gateway de Internet: Um Gateway de Internet permite que recursos em suas sub-redes acessem a Internet de forma controlada.
- Grupos de Segurança: Grupos de segurança são conjuntos de regras de firewall que controlam o tráfego de entrada e saída de recursos na VPC.
- Network ACLs: As listas de controle de acesso de rede são regras de segurança em nível de sub-rede que controlam o tráfego de rede entre sub-redes.
- VPN (Virtual Private Network): Uma VPN permite estabelecer uma conexão segura entre sua rede local e sua VPC na nuvem, estendendo sua infraestrutura de rede.
- Planejar cuidadosamente a estrutura de sua VPC, incluindo a definição de sub-redes e tabelas de roteamento para atender às necessidades de sua aplicação.
- Utilizar grupos de segurança para controlar o tráfego de rede de entrada e saída para recursos em sua VPC.
- Implementar listas de controle de acesso de rede (Network ACLs) para adicionar camadas adicionais de segurança em nível de sub-rede.
- Utilizar gateways de Internet somente quando necessário, e aplicar políticas de controle de acesso para garantir a segurança.
- Configurar conexões VPN seguras para conectar sua rede local à sua VPC, estendendo sua infraestrutura de rede de forma segura.
- Monitorar o tráfego de rede e configurar alertas para detectar atividades suspeitas ou problemas de desempenho.
- Manter uma documentação clara da configuração de sua VPC e seus recursos de rede para facilitar a gestão e solução de problemas.