Visão geral
Você é um engenheiro de segurança de rede da AnyCompany. Você é responsável por criar uma infraestrutura de rede segura na AWS para se preparar para migração da AnyCompany para a nuvem, que ocorrerá em breve. Atualmente, a AnyCompany tem uma infraestrutura de segurança de rede de três níveis on-premises:
- A Zona de Acesso Público hospeda balanceadores de carga que servem como ponto de conexão primário para seus servidores Web.
- A Zona do Servidor Web hospeda servidores front-end para o seu site.
- A Zona de Banco de Dados hospeda servidores back-end do banco de dados que fornecem dados para o seu site.
Você deve garantir que cada zona esteja segmentada de forma segura individualmente e que apenas certos tipos de tráfego estão autorizados a fluir entre elas para dar suporte aos sites e aplicativos da empresa.
Neste laboratório, você usa sub-redes públicas e privadas, grupos de segurança e ACLs de rede para criar uma infraestrutura de rede de três zonas de segurança. Em seguida, você usa logs de fluxo da VPC para monitorar o tráfego que alcança os recursos em cada zona para verificar que apenas o tráfego necessário é permitido.
Objetivos
Ao final do curso, você poderá:
- Criar uma infraestrutura de rede de três zonas de segurança
- Implementar segmentação de rede usando grupos de segurança, ACLs de rede e sub-redes públicas e privadas
- Monitorar o tráfego destinado a instâncias do EC2 usando logs de fluxo da VPC
Conhecimentos técnicos necessários
Para realizar o laboratório, você deverá ter experiência de navegação com o Console de Gerenciamento da AWS e conhecimento básico sobre conceitos de rede.
Duração
Esse laboratório leva aproximadamente 45 minutos para ser concluído.
Lista de ícones
Vários ícones são usados neste laboratório para chamar a atenção para diferentes tipos de instruções e observações. A lista a seguir explica a finalidade de cada ícone:
- Um exemplo de saída que você pode usar para verificar a saída de um comando ou arquivo editado
- Uma observação, dica ou orientação importante
- Onde encontrar mais informações
- Informações de interesse ou importância especial (não tão importantes a ponto de causar problemas com o equipamento ou dados caso você não as veja, mas podem resultar na necessidade de repetir determinadas etapas)
- Um momento para parar e pensar em como aplicar um conceito em seu próprio ambiente ou iniciar uma conversa sobre o tópico em questão
- Uma oportunidade de verificar seu conhecimento e testar o que você aprendeu
- Uma dica para uma pergunta ou desafio
Visão geral do ambiente
O diagrama a seguir mostra a arquitetura básica do ambiente do laboratório:
A lista a seguir detalha os principais recursos no diagrama:
- Uma VPC com uma sub-rede pública e duas sub-redes privadas em uma Zona de Disponibilidade e uma sub-rede pública em uma segunda Zona de Disponibilidade.
- Um Network Load Balancer com dois nós, um em cada sub-rede pública.
- Uma instância do EC2 agindo como um servidor Web na primeira sub-rede privada.
- Uma instância do EC2 agindo como um servidor de banco de dados na segunda sub-rede.
- Dois grupos de segurança, um para cada instância baseada em sua finalidade.
O tráfego da rede passa de um usuário externo, por meio de um gateway de Internet para um dos dois nós do Network Load Balancer, para o servidor Web. Caso o URL do site de blog do WordPress executada no servidor Web seja solicitada, o tráfego também fluirá para o servidor do banco de dados.
Devido às restrições atuais na plataforma do laboratório com a criação de certificados para um Application Load Balancer, um Network Load Balancer é usado. O balanceador de carga atua como uma passagem para o tráfego de entrada para o servidor Web, ele não analisa nem transforma o tráfego de forma alguma. Em um ambiente de produção, você pode considerar o uso de um Application Load Balancer para se beneficiar dos recursos adicionais e medidas de segurança, como aceitar e processar uma solicitação HTTPS de um cliente antes que ela chegue ao servidor Web. Para obter mais informações sobre os recursos de cada tipo do Elastic Load Balancer, consulte as comparações de produtos do Elastic Load Balancing na seção Recursos adicionais no final deste laboratório.