Panoramica
Ricopri il ruolo di Security Engineer presso AnyCompany. Sei responsabile della sicurezza di tutte le istanze Amazon Elastic Compute Cloud (Amazon EC2) aziendali, dei dati archiviati nelle istanze (dati inattivi) e dei dati che passano da un’istanza all’altra (dati in movimento).
Gli sviluppatori delle applicazioni di AnyCompany usano spesso le istanze EC2 per i server web front-end e i server di database back-end. Anziché applicare correzioni relative alla sicurezza ad ogni nuova istanza appena distribuite, vorresti fornire un’immagine di base preconfigurata a tutte le istanze aziendali.
In questo laboratorio potrai creare un’AMI (Amazon Machine Image) contenente varie modifiche alla configurazione. Potrai quindi distribuire una nuova istanza dall’AMI personalizzata e usare script di dati utente nell’istanza per aggiungere un nuovo utente specifico alla funzione dell’istanza. Successivamente imparerai come usare AWS Systems Manager per tenere le patch applicate alle istanze. Infine, userai le regole del gruppo di sicurezza e crittografia Amazon Elastic Block Store (Amazon EBS) per proteggere i dati aziendali inattivi e in movimento.
Obiettivi
Al termine del laboratorio, sarai in grado di intraprendere le seguenti azioni:
- Creare un’AMI personalizzata.
- Distribuire una nuova istanza EC2 da un’AMI personalizzata.
- Applicare patch a un’istanza EC2 con AWS Systems Manager.
- Crittografare un volume EBS.
- Comprendere come funziona la crittografia EBS e come influenza altre operazioni, come le snapshot.
- Utilizza i gruppi di sicurezza per limitare il traffico tra le istanze EC2 solo a ciò che è crittografato.
Competenze tecniche preliminari
Per completare correttamente questo laboratorio, è necessario avere familiarità con la navigazione di base di Console di gestione AWS e avere dimestichezza con i comandi in esecuzione della Command Line Interface (CLI) di Linux.
Durata
Il completamento di questo laboratorio richiede circa 45 minuti.
Legenda icone
In questo laboratorio vengono utilizzate varie icone per richiamare l’attenzione su diversi tipi di istruzioni e note. Nell’elenco seguente viene illustrato lo scopo di ciascuna di esse:
- Comando: un comando da eseguire.
- Output previsto: un output di esempio che puoi utilizzare per verificare l’output di un comando o di un file modificato.
- Nota: una nota, un suggerimento o indicazioni importanti.
- Ulteriori informazioni: dove trovare ulteriori informazioni.
- Attenzione: informazioni di particolare interesse o importanza, non così importanti da causare problemi alle apparecchiature o ai dati se non si rispettano, ma che potrebbero comportare la necessità di ripetere determinati passaggi
- Prendi in considerazione quanto segue: un momento per riflettere su come applicare un concetto nel proprio ambiente o di avviare una conversazione sul topic in questione.
- Aggiorna: un momento in cui potrebbe essere necessario aggiornare un elenco o una pagina del browser web per mostrare nuove informazioni.
Panoramica dell’ambiente
Il seguente diagramma mostra l’architettura di base di questo ambiente di laboratorio:
Di seguito vengono riportate le principali risorse illustrate nel diagramma:
- Un VPC con una sottorete pubblica e due sottoreti private in una zona di disponibilità , e una sottorete pubblica in una seconda zona di disponibilità .
- Un Network Load Balancer con due nodi, uno in ciascuna sottorete pubblica.
- Un’istanza EC2 che agisce come server web nella prima sottorete privata.
- Un’istanza EC2 che agisce come server di database nella seconda sottorete.
- Due gruppi di sicurezza, uno per ciascuna istanza in base allo scopo.
Il traffico della rete fluisce da un utente esterno, attraverso un gateway internet in uno dei due nodi Network Load Balancer, a un server web. Se è richiesto l’URL del sito di blog WordPress in esecuzione sul server web, il traffico fluisce anche nel server di database.