Como faço para restringir o tráfego de e para os recursos da Amazon VPC?

5 minuto de leitura

Quero restringir o tráfego de entrada e saída dos meus recursos da Amazon Virtual Private Cloud (Amazon VPC).

Resolução

Use grupos de segurança para restringir o tráfego no nível da instância do EC2 ou da interface de rede

É possível usar grupos de segurança para restringir o tráfego no nível da instância do Amazon Elastic Compute Cloud (Amazon EC2) ou da interface de rede. Configure as regras do grupo de segurança da sua Amazon VPC para permitir apenas o tráfego necessário.

Use ACLs da rede para restringir o tráfego no nível das sub-redes

Crie uma lista de controle de acesso à rede (ACL da rede) para restringir o tráfego com base no protocolo, nos endereços IP de origem e destino e nas portas de origem e destino.

Observação: cada regra em uma ACL da rede contém um número de regra. A Amazon VPC avalia suas regras em ordem a partir da regra com menor número.

Use o AWS WAF para restringir o tráfego de entrada

É possível usar o AWS WAF para restringir o tráfego de entrada HTTP e HTTPS da camada 7. Configure o AWS WAF com uma declaração de regra de correspondência de conjunto de IP para restringir o tráfego de entrada HTTP e HTTPS.

Observação: quando você configura uma declaração de regra de correspondência de conjunto de IP, o AWS WAF verifica o endereço IP das solicitações da internet em relação aos endereços IP especificados na declaração. A declaração permite o acesso somente a endereços IP conhecidos e bloqueia endereços IP maliciosos para mitigar ataques de negação de serviço distribuída (DDoS).

Use as regras gerenciadas pela AWS para o AWS WAF ou regras personalizadas para proteger sua aplicação. Para obter mais informações, consulte How to customize behavior of AWS Managed Rules for AWS WAF (Como personalizar o comportamento das regras gerenciadas pela AWS para o AWS WAF). Para obter mais informações sobre ACLs da web, consulte Trabalhando com a web ACLs.

Use o Network Firewall para restringir o tráfego aos recursos da Amazon VPC

Crie um AWS Network Firewall que restrinja o tráfego desnecessário aos seus recursos da Amazon VPC.

Use um grupo de regras de lista de domínios stateful para permitir ou bloquear o acesso a domínios específicos. Também é possível implantar o Network Firewall em uma VPC individual para inspecionar o tráfego de e para recursos da AWS. Para obter mais informações, consulte Deployment models for AWS Network Firewall (Modelos de implantação para o AWS Network Firewall).

Para obter mais informações sobre o mecanismo de regras flexíveis do Network Firewall, consulte Hands-on walkthrough of the AWS Network Firewall flexible rules engine – Part 1 (Passo a passo prático do mecanismo de regras flexíveis do AWS Network Firewall – Parte 1).

Use o Firewall DNS do Route 53 para filtrar o tráfego de DNS dos seus recursos da Amazon VPC

Crie um grupo de regras do Firewall DNS do Route 53 que filtre o tráfego DNS do seu recurso da Amazon VPC para o resolvedor. Certifique-se de associar o grupo de regras à Amazon VPC. Para obter mais informações, consulte Conceitos básicos do Firewall DNS do Route 53 Resolver.

Use políticas de endpoint da VPC para restringir o acesso aos endpoints da Amazon VPC

Atualize sua política de endpoint da Amazon VPC para definir quais usuários podem acessar o serviço associado à política por meio do endpoint da Amazon VPC. As políticas de endpoint também definem as ações que os usuários podem realizar.

Observação: a política de endpoint padrão concede acesso total ao endpoint.

Use o VPC BPA para restringir o acesso público da internet a VPCs e sub-redes

Para evitar o acesso público da internet aos recursos da VPC em uma conta inteira da AWS, configure os seguintes atributos de bloqueio de acesso público (Block Public Access, BPA) à VPC:

Ative o modo bidirecional para bloquear todo o tráfego de e para gateways da internet e gateways de internet somente de saída em sua região da AWS, exceto para VPCs e sub-redes que você exclui.
Ative o modo somente de entrada para bloquear todo o tráfego da internet para as Amazon VPCs em sua região, exceto as VPCs e sub-redes que você exclui.
Crie exclusões que isentem VPCs ou sub-redes individuais do VPC BPA.

Para obter mais informações, consulte Work with BPA (Trabalhar com BPA).

Informações relacionadas

Como permitir ou bloquear endereços IP específicos na minha instância do EC2?

How to get started with Amazon Route 53 Resolver DNS Firewall (Como começar a usar o Firewall DNS do Amazon Route 53 Resolver)

Secure your Amazon VPC DNS resolution with Amazon Route 53 Resolver DNS Firewall (Proteja sua resolução de DNS da Amazon VPC com o Firewall DNS do Amazon Route 53 Resolver)

Tópicos: Networking & Content Delivery
Tags: Amazon VPC
Idioma: Português

AWS OFICIALAtualizada há 6 meses

Sem comentários

Conteúdo relevante

Problema VPN Site-to-Site: Tráfego aceito pela VPC mas não processado pelo túnel
Mateus Diniz
feita há 4 meses
Recuperar o número da porta lógica de um request
Resposta aceita
Paulo
feita há um ano
Como faço para criar um vps
ALESSANDRO
feita há 4 meses
Acesso a instância EC2 via HTTP e HTTPS lentos para IPs específicos
Luciano
feita há 8 meses
Instancia não executa RDP após criar e excluir uma processo no Resource Scheduler Powered by AWS Solutions
Santos
feita há 9 meses
Como faço para restringir o tráfego direto a um Application Load Balancer e permitir tráfego somente pelo CloudFront?
AWS OFICIALAtualizada há 8 meses
Como faço para restringir o acesso aos recursos da AWS com base na região da AWS, endereço IP de origem ou Amazon VPC?
AWS OFICIALAtualizada há um ano
Como uso o AWS WAF para restringir tráfego direto para um Application Load Balancer e permitir tráfego por meio do API Gateway?
AWS OFICIALAtualizada há 7 meses
Como faço para restringir o acesso à minha instância de caderno do SageMaker AI a partir de uma Amazon VPC ou rede corporativa?
AWS OFICIALAtualizada há 7 meses
Usando o CloudWatch e o AWS Shield para Monitoramento Eficaz de DDoS: Um Guia Técnico
ESPECIALISTA
Mateus Prado
publicada há 7 meses