Центр знаний DevOps
Центр знаний DevOps

Руководство по созданию безопасной AWS VPC с нуля

Узнайте, как построить безопасную виртуальную частную облачную сеть (VPC) AWS с нуля. Это всеобъемлющее руководство охватывает основные концепции, такие как блоки CIDR, подсети и таблицы маршрутизации. Откройте для себя пошаговые инструкции по созданию публичных и приватных подсетей, настройке интернет-шлюзов (Internet Gateways) и NAT-шлюзов (NAT Gateways), а также по внедрению критически важных мер безопасности с использованием групп безопасности (Security Groups) и списков контроля доступа к сети (NACLs) для оптимальной изоляции и защиты сети.

24 просмотров

Руководство по созданию безопасной AWS VPC с нуля

Amazon Web Services (AWS) Virtual Private Cloud (VPC) — это фундаментальный строительный блок для развертывания приложений и ресурсов в облаке. Он представляет собой логически изолированный раздел облака AWS, где вы можете запускать ресурсы AWS в определяемой вами виртуальной сети. Создание безопасной VPC с нуля имеет решающее значение для защиты ваших данных и приложений от несанкционированного доступа. Это руководство проведет вас через основные этапы проектирования и настройки новой VPC, охватывая такие ключевые компоненты, как подсети, таблицы маршрутизации и важнейшие аспекты безопасности для оптимальной сегментации и изоляции сети.

A хорошо спроектированная VPC — это основа безопасной облачной инфраструктуры. Она позволяет вам контролировать сетевое окружение, определять правила доступа и сегментировать ресурсы на основе их чувствительности и функций. Тщательно планируя и внедряя вашу VPC, вы можете значительно повысить уровень безопасности вашего развертывания AWS, уменьшив поверхность атаки и предотвратив непреднамеренное раскрытие данных. Это руководство предоставит вам знания для создания надежной и безопасной VPC, адаптированной к вашим конкретным потребностям.

Понимание основных концепций VPC

Прежде чем переходить к шагам настройки, важно понять основные концепции AWS VPC:

  • VPC (Virtual Private Cloud): Виртуальная сеть, выделенная для вашей учетной записи AWS. Это логически изолированный раздел облака AWS, где вы можете запускать ресурсы AWS.
  • Подсеть (Subnet): Диапазон IP-адресов в вашей VPC. Вы можете запускать ресурсы AWS в созданных вами подсетях. Подсети определяются их блоком CIDR, который является подмножеством блока CIDR VPC.
  • Таблица маршрутизации (Route Table): Набор правил, называемых маршрутами, которые используются для определения того, куда направляется сетевой трафик из вашей подсети или шлюза.
  • Интернет-шлюз (Internet Gateway, IGW): Компонент VPC, который обеспечивает связь между вашей VPC и Интернетом. Он позволяет инстансам в вашей VPC подключаться к Интернету и наоборот.
  • NAT-шлюз (Network Address Translation): Высокодоступный и масштабируемый сервис NAT, который обеспечивает доступ в Интернет для инстансов в частной подсети, предотвращая при этом входящие соединения, инициированные из Интернета.
  • Группа безопасности (Security Group): Действует как виртуальный брандмауэр для ваших инстансов, контролируя входящий и исходящий трафик. Он работает на уровне инстанса.
  • Список контроля доступа к сети (Network Access Control List, NACL): Необязательный уровень безопасности для вашей VPC, который действует как брандмауэр для контроля трафика, входящего и исходящего из одной или нескольких подсетей. Он работает на уровне подсети.

Пошаговое создание VPC

Давайте начнем построение вашей безопасной VPC.

1. Планирование схемы IP-адресов

Первым и наиболее важным шагом является планирование диапазона IP-адресов для VPC и ее подсетей. Это включает выбор блока Classless Inter-Domain Routing (CIDR) для вашей VPC.

  • Блок CIDR VPC: Выберите частный диапазон IP-адресов, который не пересекается с вашей локальной сетью или любой другой VPC AWS, к которой вы можете подключиться через VPN или Direct Connect. AWS рекомендует использовать диапазоны IP-адресов RFC 1918 (10.0.0.0/8, 172.16.0.0/12 или 192.168.0.0/16). Блок CIDR может быть от /16 (65 536 IP-адресов) до /28 (16 IP-адресов).

    • Пример: 10.0.0.0/16 предоставляет большое адресное пространство для вашей VPC.

  • Блоки CIDR подсетей: Разделите блок CIDR вашей VPC на более мелкие блоки CIDR для ваших подсетей. Убедитесь, что блок CIDR каждой подсети является подмножеством блока CIDR VPC и не пересекается с другими подсетями.

    • **Пример (если VPC имеет адрес 10.0.0.0/16):
      • Публичная подсеть 1: 10.0.1.0/24
      • Публичная подсеть 2: 10.0.2.0/24
      • Частная подсеть 1: 10.0.10.0/24
      • Частная подсеть 2: 10.0.11.0/24

2. Создание VPC

Перейдите на панель управления VPC в AWS Management Console и создайте новую VPC.

  1. Перейдите в Панель управления VPC > Ваши VPC > Создать VPC.
  2. Тег имени: Присвойте вашей VPC описательное имя (например, MySecureVPC).
  3. Блок IPv4 CIDR: Введите запланированный блок CIDR (например, 10.0.0.0/16).
  4. Блок IPv6 CIDR: При необходимости вы можете выбрать включение блока IPv6 CIDR.
  5. Аренда (Tenancy): Для большинства вариантов использования подходит По умолчанию (Default). Выделенная (Dedicated) предлагает аппаратную изоляцию по более высокой цене.
  6. Нажмите Создать VPC.

3. Создание подсетей

Теперь создайте ваши публичные и приватные подсети в рамках VPC.

  1. Перейдите в Панель управления VPC > Подсети > Создать подсеть.
  2. ID VPC: Выберите только что созданную VPC.
  3. Имя подсети: Укажите имя (например, MyPublicSubnet-AZ1).
  4. Зона доступности (Availability Zone): Выберите Зону доступности (AZ). Рекомендуется развертывать ресурсы в нескольких AZ для обеспечения высокой доступности.
  5. Блок IPv4 CIDR: Введите блок CIDR для этой подсети (например, 10.0.1.0/24).
  6. Нажмите Создать подсеть.

Повторите этот процесс, чтобы создать все запланированные публичные и приватные подсети, убедившись, что они находятся в разных Зонах доступности для обеспечения отказоустойчивости.

4. Создание Интернет-шлюза (IGW)

IGW необходим для доступа ваших публичных подсетей к Интернету.

  1. Перейдите в Панель управления VPC > Интернет-шлюзы > Создать интернет-шлюз.
  2. Тег имени: MyVPCInternetGateway.
  3. Нажмите Создать интернет-шлюз.
  4. После создания выберите IGW, нажмите Действия и выберите Присоединить к VPC. Выберите вашу VPC и нажмите Присоединить интернет-шлюз.

5. Создание таблиц маршрутизации

Таблицы маршрутизации направляют трафик внутри вашей VPC. Обычно вам понадобятся как минимум две: одна для публичных подсетей и одна для приватных подсетей.

a. Публичная таблица маршрутизации:

  1. Перейдите в Панель управления VPC > Таблицы маршрутизации > Создать таблицу маршрутизации.
  2. Тег имени: MyPublicRouteTable.
  3. VPC: Выберите вашу VPC.
  4. Нажмите Создать таблицу маршрутизации.
  5. Выберите только что созданную MyPublicRouteTable.
  6. На вкладке Маршруты нажмите Изменить маршруты.
  7. Нажмите Добавить маршрут.
  8. Назначение (Destination): 0.0.0.0/0 (весь IPv4 трафик).
  9. Цель (Target): Выберите Интернет-шлюз и укажите ваш IGW.
  10. Нажмите Сохранить маршруты.
  11. Ассоциация подсетей: Перейдите на вкладку Ассоциации подсетей, нажмите Изменить ассоциации подсетей и свяжите ваши публичные подсети с этой таблицей маршрутизации.

b. Приватная таблица маршрутизации (с NAT-шлюзом):

Чтобы разрешить инстансам в частных подсетях инициировать исходящие соединения с Интернетом (например, для обновлений программного обеспечения), не будучи при этом доступными напрямую из Интернета, вы будете использовать NAT-шлюз.

  1. Создание NAT-шлюза:

    • Перейдите в Панель управления VPC > NAT-шлюзы > Создать NAT-шлюз.
    • Имя: MyNATGateway.
    • Подсеть: Выберите одну из ваших публичных подсетей.
    • Тип подключения: Публичный.
    • ID выделенного IP-адреса (Elastic IP allocation ID): Нажмите Выделить эластичный IP-адрес, чтобы создать и назначить новый эластичный IP-адрес.
    • Нажмите Создать NAT-шлюз.
    • Примечание: NAT-шлюзы влекут за собой расходы. Для базовой исходящей связи убедитесь, что в вашей публичной подсети достаточно IP-адресов для NAT-шлюза..

  2. Создание приватной таблицы маршрутизации:

    • Перейдите в Панель управления VPC > Таблицы маршрутизации > Создать таблицу маршрутизации.
    • Тег имени: MyPrivateRouteTable.
    • VPC: Выберите вашу VPC.
    • Нажмите Создать таблицу маршрутизации.
    • Выберите MyPrivateRouteTable.
    • На вкладке Маршруты нажмите Изменить маршруты.
    • Нажмите Добавить маршрут.
    • Назначение (Destination): 0.0.0.0/0.
    • Цель (Target): Выберите NAT-шлюз и укажите ваш NAT-шлюз.
    • Нажмите Сохранить маршруты.
    • Ассоциация подсетей: Перейдите на вкладку Ассоциации подсетей, нажмите Изменить ассоциации подсетей и свяжите ваши приватные подсети с этой таблицей маршрутизации.

6. Настройка групп безопасности

Группы безопасности действуют как Stateful-брандмауэры на уровне инстанса. Они разрешают или запрещают трафик на основе определяемых вами правил.

  • Рекомендуемая практика: Создавайте специальные группы безопасности для различных типов ресурсов (например, веб-серверы, серверы баз данных, серверы приложений). Избегайте использования чрезмерно разрешительных правил.

Пример: Группа безопасности веб-сервера (WebServerSG)

  1. Перейдите в Панель управления VPC > Группы безопасности > Создать группу безопасности.
  2. Имя группы безопасности: WebServerSG.
  3. Описание: Разрешить доступ по HTTP и HTTPS.
  4. VPC: Выберите вашу VPC.
  5. Входящие правила (Inbound rules):
    • Тип: HTTP, Протокол: TCP, Диапазон портов: 80, Источник: 0.0.0.0/0 (или более конкретный доверенный диапазон IP-адресов).
    • Тип: HTTPS, Протокол: TCP, Диапазон портов: 443, Источник: 0.0.0.0/0 (или более конкретный доверенный диапазон IP-адресов).
    • (Необязательно) Тип: SSH, Протокол: TCP, Диапазон портов: 22, Источник: Ваш доверенный IP-адрес/диапазон (критически важно для управления).
  6. Исходящие правила (Outbound rules): По умолчанию разрешить весь исходящий трафик (0.0.0.0/0). Вы можете ограничить это при необходимости.
  7. Нажмите Создать группу безопасности.

Пример: Группа безопасности сервера баз данных (DatabaseSG)

  1. Создайте новую группу безопасности с именем DatabaseSG.
  2. Входящие правила:
    • Добавьте правило, разрешающее трафик на стандартный порт вашей базы данных (например, 3306 для MySQL, 5432 для PostgreSQL) только из группы безопасности ваших серверов приложений (например, WebServerSG или AppServerSG).
    • Источник: Выберите Пользовательский (Custom), а затем введите идентификатор группы безопасности сервера приложений.
  3. Исходящие правила: Обычно разрешить весь исходящий трафик.

7. Настройка списков контроля доступа к сети (NACL)

NACL — это Stateless-брандмауэры, которые работают на уровне подсети. Они служат дополнительным уровнем защиты.

  • Stateful против Stateless: Группы безопасности являются Stateful (если вы разрешаете входящий трафик, ответный исходящий трафик разрешается автоматически). NACL являются Stateless (вы должны явно определить правила как для входящего, так и для исходящего трафика).

  • Рекомендуемая практика: NACL часто оставляют с настройками по умолчанию, если не требуется специальный контроль доступа на уровне подсети. Ими может быть сложно управлять.

Если вам необходимо использовать NACL:

  1. Перейдите в Панель управления VPC > Списки контроля доступа к сети > Создать список контроля доступа к сети.
  2. Тег имени: MyNacl.
  3. VPC: Выберите вашу VPC.
  4. Нажмите Создать список контроля доступа к сети.
  5. Выберите NACL и на вкладке Входящие правила добавьте правила.
  6. Номера правил (Rule Numbers): NACL оценивают правила по порядку, начиная с правила с наименьшим номером. Используйте числа, такие как 100, 200, 300 и т. д., чтобы предусмотреть возможность вставки новых правил.
  7. Разрешить/Запретить (Allow/Deny): Укажите, разрешить или запретить трафик.
  8. Протокол, Диапазон портов, Источник/Назначение: Определите параметры трафика.
  9. Не забудьте настроить соответствующие Исходящие правила.
  10. Свяжите NACL с вашими подсетями, перейдя на вкладку Ассоциации подсетей.

Пример сценария развертывания

Рассмотрим типичное веб-приложение:

  • VPC: 10.0.0.0/16
  • Публичная подсеть 1 (us-east-1a): 10.0.1.0/24 (Связана с MyPublicRouteTable и IGW)
  • Публичная подсеть 2 (us-east-1b): 10.0.2.0/24 (Связана с MyPublicRouteTable и IGW)
  • Частная подсеть 1 (us-east-1a): 10.0.10.0/24 (Связана с MyPrivateRouteTable и NAT-шлюзом)

  • Частная подсеть 2 (us-east-1b): 10.0.11.0/24 (Связана с MyPrivateRouteTable и NAT-шлюзом)

  • Интернет-шлюз: Присоединен к VPC.

  • NAT-шлюз: Развернут в Публичной подсети 1 с эластичным IP-адресом.
  • Публичная таблица маршрутизации: Направляет 0.0.0.0/0 на IGW. Связана с публичными подсетями.

  • Приватная таблица маршрутизации: Направляет 0.0.0.0/0 на NAT-шлюз. Связана с приватными подсетями.

  • Группа безопасности для балансировщиков нагрузки (в публичных подсетях): Разрешает HTTP/HTTPS из 0.0.0.0/0.

  • Группа безопасности для веб-серверов (в приватных подсетях): Разрешает HTTP/HTTPS из группы безопасности балансировщика, и SSH из вашего доверенного IP-адреса.
  • Группа безопасности для баз данных (в приватных подсетях): Разрешает MySQL/PostgreSQL из группы безопасности веб-серверов.

Критические аспекты безопасности

  • Принцип наименьших привилегий: Предоставляйте только необходимые разрешения для ваших групп безопасности и NACL. Максимально ограничивайте исходные IP-адреса.
  • Использование нескольких Зон доступности: Распределяйте подсети и ресурсы по нескольким AZ для обеспечения высокой доступности и аварийного восстановления. Это достигается путем создания подсетей в разных AZ и связывания их с соответствующими таблицами маршрутизации.
  • Регулярный пересмотр групп безопасности и NACL: По мере развития вашего приложения должны развиваться и ваши правила безопасности. Периодически проводите аудит и обновляйте их.
  • Избегайте публичных подсетей для конфиденциальных ресурсов: Базы данных, серверы приложений и другие конфиденциальные ресурсы должны находиться в частных подсетях. Прямой доступ в Интернет должен быть разрешен только ресурсам, требующим его (например, балансировщикам нагрузки или бастионным хостам).
  • Рассмотрите использование бастионных хостов: Если вам нужно подключиться по SSH к инстансам в частных подсетях, рассмотрите возможность использования защищенного бастионного хоста в публичной подсети. Ограничьте доступ по SSH к бастионному хосту только известными IP-адресами.
  • VPC Flow Logs (Журналы потоков VPC): Включите VPC Flow Logs для сбора информации о сетевом трафике, идущем в сетевые интерфейсы вашей VPC и из них. Это бесценно для мониторинга безопасности и устранения неполадок.
  • Сетевая сегментация: Используйте разные VPC и подсети для сегментации сред (например, разработка, промежуточное тестирование, производство) и различных уровней вашего приложения.

Заключение

Создание безопасной AWS VPC с нуля включает в себя тщательное планирование и настройку ее основных компонентов. Понимая блоки CIDR, подсети, таблицы маршрутизации и эффективно используя группы безопасности и NACL, вы можете создать надежную и изолированную сетевую среду для своих ресурсов AWS. Помните, что безопасность — это непрерывный процесс, поэтому постоянный мониторинг, пересмотр и соблюдение передовых практик имеют первостепенное значение для поддержания безопасности облачной инфраструктуры.