Panoramica
Ricopri il ruolo di Network Security Engineer presso AnyCompany. Hai il compito di creare un'infrastruttura di rete sicura in AWS in vista dell'imminente migrazione di AnyCompany al cloud. AnyCompany dispone attualmente di un'infrastruttura di sicurezza di rete a tre livelli on-premise:
- La zona di accesso pubblico ospita i bilanciatori del carico che fungono da punto di connessione principale ai server web.
- La zona server web ospita i server front-end per il sito web.
- La zona database ospita i server di database back-end che forniscono dati al sito web.
Occorre assicurarsi che ciascuna zona sia segmentata in modo sicuro e che solo determinati tipi di traffico possano fluire tra di esse per supportare i siti web e le applicazioni dell'azienda.
In questo laboratorio, userai sottoreti pubbliche e private, gruppi di sicurezza e liste di controllo degli accessi di rete per creare un'infrastruttura di rete con tre zone di sicurezza. Successivamente, utilizzerai i log di flusso VPC per monitorare il traffico che raggiunge le risorse in ciascuna zona in modo da verificare che sia consentito solo il traffico richiesto.
Obiettivi
Ecco cosa sarai in grado di fare alla fine di questo laboratorio:
- Creare un'infrastruttura di rete con tre zone di sicurezza
- Implementare la segmentazione della rete utilizzando gruppi di sicurezza, liste di controllo degli accessi di rete e sottoreti pubbliche e private
- Monitorare il traffico di rete verso le istanze EC2 utilizzando i log di flusso VPC
Competenze tecniche preliminari
Per completare correttamente questo laboratorio, occorre avere familiarità con la navigazione dell'AWS Management Console e una comprensione di base dei concetti di rete.
Durata
Il completamento di questo laboratorio richiede circa 45 minuti.
Legenda icone
In questo laboratorio vengono utilizzate varie icone per richiamare l'attenzione su diversi tipi di istruzioni e note. Nell'elenco seguente viene illustrato lo scopo di ciascuna di esse:
- Un output di esempio che puoi utilizzare per verificare l'output di un comando o di un file modificato
- Una nota, un suggerimento o indicazioni importanti
- Dove trovare ulteriori informazioni.
- Informazioni di particolare interesse o importanza (non così importanti da causare problemi alle apparecchiature o ai dati, se si perdono, ma che potrebbero comportare la necessità di ripetere determinati passaggi)
- Suggerimento di prendersi un momento per riflettere su come applicare un concetto nel proprio ambiente o avviare una conversazione sull'argomento in questione
- Un'opportunità per verificare le tue conoscenze e testare ciò che hai imparato
- Un suggerimento per una domanda o sfida
Panoramica dell'ambiente
Il seguente diagramma mostra l'architettura di base di questo ambiente di laboratorio:
Di seguito vengono riportate le principali risorse illustrate nel diagramma:
- Un VPC con una sottorete pubblica e due sottoreti private in una zona di disponibilità e una sottorete pubblica in una seconda zona di disponibilitÃ
- Un Network Load Balancer con due nodi, uno in ciascuna sottorete pubblica
- Un'istanza EC2 che agisce come server web nella prima sottorete privata
- Un'istanza EC2 che agisce come server di database nella seconda sottorete
- Due gruppi di sicurezza, uno per ciascuna istanza in base allo scopo
Il traffico della rete fluisce da un utente esterno, attraverso un gateway internet in uno dei due nodi Network Load Balancer, a un server web. Se è richiesto l'URL del sito del blog di WordPress in esecuzione sul server web, il traffico fluisce anche nel server di database.
A causa delle attuali restrizioni con la creazione di certificati per un Application Load Balancer nella piattaforma di laboratorio, viene invece utilizzato un Network Load Balancer. Il bilanciatore del carico funge da pass-through per il traffico in entrata al server web: non analizza né trasforma il traffico in alcun modo. In un ambiente di produzione è possibile prendere in considerazione l'utilizzo di un Application Load Balancer per sfruttare le sue funzionalità e misure di sicurezza aggiuntive, come l'accettazione e l'elaborazione di una richiesta HTTPS da un client prima che raggiunga il server web. Per ulteriori informazioni sulle funzionalità di ciascun tipo di Elastic Load Balancer, consulta Confronti tra prodotti di Elastic Load Balancing nella sezione Risorse aggiuntive al termine di questo laboratorio.