Blog AWS Indonesia
Jaringan Hybrid menggunakan VPC Endpoints (AWS PrivateLink) dan Amazon CloudWatch untuk Layanan Keuangan
Amazon CloudWatch menawarkan layanan terpusat untuk mengumpulkan data pemantauan dan operasional dalam bentuk log, metrik, dan event. Hal ini memberikan tampilan terpadu tentang sumber daya, aplikasi, dan layanan AWS yang berjalan di AWS dan server on-premise. Saat Anda memiliki agen Amazon CloudWatch yang berjalan di lokasi, perilaku default-nya adalah mengekspor metrik yang dikumpulkan ke publik endpoint CloudWatch yang dapat dijangkau melalui internet atau Direct Connect Public VIF. Ini menghadirkan tantangan bagi banyak perusahaan yang terikat oleh kebijakan kepatuhan mereka untuk memiliki konektivitas privat ke layanan AWS. Hal ini sangat penting khususnya bagi pelanggan di industri jasa keuangan yang memegang data-data sensitif. Dengan AWS PrivateLink, Anda dapat mencegah data sensitif Anda melintasi Internet dan menjaga kepatuhan terhadap peraturan seperti HIPAA, EU/US Privacy Shield, dan PCI. Anda dapat memanfaatkan VPC Interface endpoint, yang dibangun di atas AWS PrivateLink, untuk memperluas konektivitas privat hingga ke jaringan on-premise Anda menggunakan Direct Connect Private VIF atau VPN. Lalu lintas Anda tidak terekspos ke internet, menghilangkan potensi ancaman penting.
Postingan blog ini menunjukkan bagaimana Anda dapat menggunakan VPC Endpoint untuk mengekspor metrik dari agen CloudWatch yang berjalan di server on-premise ke Amazon CloudWatch melalui koneksi privat. Kami juga akan mengamankan endpoint menggunakan security-group dan endpoint policy. Mari kita mulai…
Prasyarat
- Sebuah akun AWS
- Konektivitas privat melalui Direct Connect dan/atau Site-to-Site VPN menuju on-premise/DC
- Pengaturan agen CloudWatch sehubungan dengan metrik tingkat sistem di server on-premise
Gambaran Solusi
Panduan
Untuk menerapkan solusi ini, Anda harus menyelesaikan langkah-langkah berikut yang telah saya berikan panduan langkah demi langkahnya sebagai berikut:
- Membuat CloudWatch Interface endpoint dari konsol AWS VPC di region us-east-1
- Memverifikasi konektivitas jaringan privat antara AWS dan on-premise menggunakan DX/VPN
- Siapkan Route53 resolver inbound endpoint untuk menyelesaikan query DNS dari on-premise
- Atur VPC Interface endpoint dengan endpoint policy, security-group, dan Network ACL pada endpoint ENI
- Memverifikasi metrik tingkat sistem yang dikirimkan ke CloudWatch menggunakan VPC endpoint
Membuat VPC Interface Endpoint untuk layanan CloudWatch Monitoring
Buka konsol Amazon VPC dan navigasikan ke Endpoints dan pilih Create endpoint.
Pilih AWS services dan cari “com.amazonaws.us-east-1.monitoring”
Pilih VPC tempat Anda ingin membuat endpoint dan secara opsional Anda juga dapat menambahkan tag.
Setelah Anda memilih VPC, lanjutkan dengan memilih subnet tempat Anda ingin endpoint ENI tersebut dibuat. Sebagai praktik terbaik, Anda harus selalu memilih beberapa subnet untuk mencapai high availability.
Centang untuk ‘Enable DNS name’. Fitur ini mengaitkan sebuah private hosted zone yang berisi DNS record set dengan VPC yang Anda tentukan. Ini memungkinkan Anda memanfaatkan konektivitas jaringan privat milik Amazon untuk menjangkau layanan tersebut. Anda dapat melakukannya meskipun Anda membuat permintaan melalui nama DNS public endpoint layanan tersebut.
Terakhir, lampirkan security-group untuk ENI endpoint. Anda juga dapat membuat security-group baru untuk membatasi akses berdasarkan kebutuhan Anda. Pada bagian selanjutnya, saya akan menyesuaikan security-group untuk memungkinkan akses dari subnet on-premise.
Periksa dan verifikasi entri DNS dan ENI yang dibuat untuk endpoints. Karena saya telah memilih ‘Enable DNS name’ saat membuat endpoint, sistem telah membuat dan mengaitkan sebuah private hosted zone dengan VPC yang ditentukan. Anda dapat mengetahui entri DNS untuk Interface endpoint Anda dengan memilih VPC endpoint di konsol VPC atau menggunakan perintah CLI di bawah ini. Setelah ini, Anda cukup menjalankan nslookup pada entri DNS monitoring.us-east-1.amazonaws.com atau kustom DNS entri untuk endpoint dari instans EC2.
Perhatikan bahwa nama DNS privat (monitoring.us-east-1.amazonaws.com) sudah tercantum dalam perintah di atas. Anda akan memerlukan ini saat menyiapkan conditional forwarding pada DNS resolver on-premise Anda. Merupakan suatu praktik terbaik untuk membuat aturan conditional forwarding yang sangat spesifik karena Anda mungkin menginginkan layanan AWS lainnya melalui akses publik.
Jika Anda ingin mengatur CloudWatch VPC endpoint menggunakan CloudFormation untuk tujuan otomatisasi, Anda juga dapat memanfaatkan templat CloudFormation di bawah ini. Templat CloudFormation membuat CloudWatch Monitoring VPC endpoint dan menerapkan security-group pada endpoint ENI. Dengan demikian, hal tersebut membatasi penggunaan hanya untuk subnet jaringan yang Anda tentukan dan menerapkan endpoint policy yang selanjutnya membatasi penggunaan endpoint hanya untuk VPC tertentu saja.
Konektivitas antara On-Premise dan AWS VPC
Di blog ini kita tidak akan membahas secara rinci tentang cara mengatur Private VIF melalui Direct Connect atau VPN. Jika Anda memerlukan bantuan dengan pengaturan DX dan VPN, silakan ikuti dokumentasi kami tentang membuat VIF melalui DX dan menyiapkan VPN. Setelah konektivitas aktif dan berjalan, pastikan Anda dapat berkomunikasi dengan sumber daya di VPC Anda. Untuk demo ini, saya menguji konektivitas dari router on-premise saya ke instans EC2 yang berjalan di VPC tempat CloudWatch VPC endpoint dibuat.
Menyiapkan Route53 Resolver Inbound Endpoint
Sekarang setelah Anda memiliki penyiapan CloudWatch VPC endpoint di VPC Anda, Anda masih memerlukan cara untuk berkomunikasi dengannya dari jaringan on-premise Anda. Di sinilah kita perlu menyiapkan Route53 inbound resolver sehingga kueri DNS untuk private hosted zone yang diteruskan oleh DNS resolver on-premise dapat dilayani dengan baik. Anda perlu menyiapkan conditional forwarding pada DNS resolver on-premise Anda untuk meneruskan semua kueri tentang amazonaws.com ke alamat IP Route53 inbound endpoint. Di bagian berikut, saya akan menunjukkan cara menyiapkan Route53 endpoint.
- Navigasikan ke konsol Route53 dan ke bagian Resolver lalu pilih Inbound endpoints.
- Saat Anda membuat resolver endpoint, pilih VPC yang Anda gunakan saat membuat CloudWatch VPC endpoint.
- Selama pembuatan resolver endpoint, Anda harus menyediakan 2 AZ/Subnet sehingga Route53 dapat mengalokasikan 1 alamat IP pada setiap subnet untuk high availability.
Karena Anda sudah memiliki pengaturan routing antara VPC dan jaringan on-premise, Anda seharusnya dapat menjangkau IP dari Route53 resolver endpoint. Anda dapat memverifikasi ini dengan menjalankan perintah dig. Jika memerlukan bantuan lebih lanjut, Anda juga dapat mengikuti blog dukungan kami yang menyediakan petunjuk langkah demi langkah tentang menyiapkan Route 53 Inbound resolver dan menguji konfigurasi Anda.
Dig (Domain Information Groper) adalah utilitas baris perintah yang melakukan pencarian DNS dengan menanyakan server nama dan menampilkan hasilnya kepada Anda.
Amankan VPC endpoint Anda
Untuk mengamankan endpoint, gunakan endpoint policy. Saya menggunakan kebijakan di bawah ini untuk membatasi akses ke VPC tempat DX dan VPN berada. Harap diperhatikan: Anda juga dapat membatasi akses ke ID akun AWS. Untuk informasi lebih lanjut tentang endpoint policy, silakan lihat: Mengontrol akses ke layanan dengan VPC endpoints
Untuk lebih membatasi akses ke jaringan on-premise Anda, Anda dapat menggunakan security-group, yang diterapkan ke ENI endpoint. Dengan ini, Anda dapat memastikan bahwa hanya jaringan dan sumber daya yang diizinkan yang dapat mengakses endpoint. Dalam demo ini, saya hanya mengizinkan akses kepada 10.200.2.0/24, yang merupakan subnet on-premise saya.
Memverifikasi bahwa Metrik Server On-premise Muncul di CloudWatch
Sebelum memeriksa konsol metrik CloudWatch, saya dengan cepat menjalankan tcpdump di salah satu server on-premise saya untuk memverifikasi bahwa agen CloudWatch mengirim data metrik ke CloudWatch VPC endpoint. Dari cuplikan tcpdump, Anda dapat melihat bahwa server mengkueri Route53 resolver endpoint (10.100.1.77) untuk monitoring.us-east-1.amazonaws.com. Route53 resolver merespons kembali dengan ‘A’ record (A 10.100.5.39, A 10.100.3.194, A 10.100.4.146, A 10.100.0.101, A 10.100.2.241, A 10.100.1.6) untuk CloudWatch VPC endpoint. Setelah resolusi DNS selesai, agen CloudWatch meneruskan data metrik ke IP privat CloudWatch VPC endpoint.
Akhirnya, kita dapat memeriksa CloudWatch Console untuk metrik server on-premise, di bawah bagian Custom Namespace. Anda dapat melihatnya dengan menavigasi ke konsol CloudWatch -> Metrics -> All Metrics.
Kesimpulan
Postingan blog ini mengilustrasikan bagaimana Anda dapat mengirim metrik CloudWatch secara privat dari jaringan on-premise Anda ke CloudWatch, menggunakan VPC endpoint. Ini menjelaskan bagaimana pelanggan (terutama di industri jasa keuangan) yang memiliki data-data penting dapat mengamankan VPC endpoint mereka dengan menggunakan endpoint policy dan kemudian lebih membatasi akses ke jaringan on-premise menggunakan security-group yang diterapkan pada endpoint ENI. AWS PrivateLink memberi Anda kontrol terperinci atas bagaimana aplikasi Anda terhubung ke layanan AWS tanpa perlu membangun konektivitas melalui internet publik dan tetap mematuhi kebijakan kepatuhan dan keamanan perusahaan Anda. Anda juga dapat memanfaatkan arsitektur ini untuk Layanan AWS lainnya yang terintegrasi dengan AWS PrivateLink. Secara garis besar solusinya tetap sama.
Anda dapat mempelajari selengkapnya tentang AWS PrivateLink di halaman layanan kami di sini.
Artikel ini merupakan terjemahan dari blog yang dibuat oleh Samir Rane pada 11 November 2020 berjudul Hybrid Networking using VPC Endpoints (AWS PrivateLink) and Amazon CloudWatch for Financial Services