概觀
您是 AnyCompany 的網路安全工程師。您必須負責在 AWS 建立安全的網路基礎設施,以準備好讓 AnyCompany 遷移到雲端。AnyCompany 目前有一個內含三層網路的內部部署安全基礎設施:
- 公開存取區域設有做為 Web 伺服器主要連接點的負載平衡器。
- Web 伺服器區域設有網站的前端伺服器。
- 資料庫區域設有為網站提供資料的後端資料庫伺服器。
您必須確保每個區域均以安全的方式互相區隔,並僅允許特定類型的流量在這些區域之間流通,以支援公司的網站和應用程式。
在此實驗室中,您將使用公有和私有子網路、安全群組和網路 ACL 來建立內含三個安全區域的網路基礎設施。接著,您會使用 VPC 流量日誌來監控接觸到各區域內資源的流量,以確認系統僅允許必要的流量。
目標
此實驗室結束後,您將能夠:
- 建立一個內含三個安全區域的網路基礎設施
- 使用安全群組、網路 ACL 以及公有和私有子網路實作網路分段
- 使用 VPC 流量日誌監控傳入 EC2 執行個體的網路流量
技術知識先決條件
若要順利完成此實驗室,您應熟悉 AWS 管理主控台的瀏覽操作,並了解網路連結的基本概念。
持續時間
此實驗室需要大約 45 分鐘的時間來完成。
圖示圖例
此實驗室使用各種圖示提醒您注意不同類型的指示和注意事項。下列清單說明各圖示的用途:
- 您可使用的範例輸出,以驗證命令的輸出內容或經過編輯的檔案
- 提示、秘訣或重要指引
- 可獲得更多資訊的地方
- 有特殊影響或重要性的資訊 (如果您錯過此資訊,不會對設備或資料造成太大的問題,但可能會導致需要重複特定步驟)
- 建議您暫停一下,思考如何在自己的環境中應用概念或展開與手邊主題有關的對話
- 您將有機會檢測您的知識並測試您學到的內容
- 問題或挑戰的提示
環境概觀
下圖顯示實驗室環境的基本架構:
架構圖中主要資源的詳細資訊如下:
- 一個 VPC 在一個可用區域內有一個 public subnet (公有子網路) 和兩個 private subnet (私有子網路),在第二個可用區域內有一個 public subnet (公有子網路)。
- 具有兩個節點的 Network Load Balancer,每個公有子網路中有一個節點。
- 在第一個私有子網路中充當 Web 伺服器的 EC2 instance (EC2 執行個體)。
- 在第二個子網路中充當資料庫伺服器的 EC2 instance (EC2 執行個體)。
- 兩個 security groups (安全群組),根據其用途,每個執行個體各擁有一個。
網路流量從外部使用者流出,經由網際網路閘道到兩個 Network Load Balancer 節點之一,再到 Web 伺服器。如果請求在 Web 伺服器上執行的 WordPress 部落格網站的 URL,流量也會流向資料庫伺服器。
由於目前在實驗室平台建立 Application Load Balancer 的憑證受到限制,因此改為使用 Network Load Balancer。負載平衡器做為傳入流量傳向 Web 伺服器的傳遞,不會以任何方式分析或轉換流量。建議您在生產環境中使用 Application Load Balancer,利用其額外功能和安全措施,例如在用戶端的 HTTPS 請求傳送到 Web 伺服器之前先予以接受並處理。如需各類型 Elastic Load Balancer 功能的詳細資訊,請參閱此實驗室結尾其他資源區段中的 Elastic Load Balancing 產品比較。