Amazon Virtual Private Cloud

Основывается на логически изолированной виртуальной сети в облаке AWS.

Amazon Virtual Private Cloud (Amazon VPC) – это сервис, который дает возможность запускать ресурсы AWS в определяемой пользователем логически изолированной виртуальной сети. Это позволяет полностью контролировать среду виртуальной сети, в том числе выбирать собственный диапазон IP‑адресов, создавать подсети, а также настраивать таблицы маршрутизации и сетевые шлюзы. Для большинства ресурсов в virtual private cloud можно использовать и IPv4, и IPv6, и таким образом получить безопасный и удобный доступ к ресурсам и приложениям.

Как один из основополагающих сервисов AWS, Amazon VPC упрощает индивидуальную настройку параметров сети VPC. Можно создать общедоступную подсеть для своих веб-серверов с доступом к Интернету. Можно также поместить свои серверные системы, такие как базы данных или серверы приложений, в частную подсеть без доступа к Интернету. Amazon VPC дает возможность использовать многоуровневую систему безопасности, которая состоит из групп безопасности и сетевых списков контроля доступа. Такая система позволяет контролировать доступ к инстансам Amazon EC2 в каждой подсети.

2019 AWS Summit video about AWS Networking fundamentals focused on VPC (40:08)

Преимущества использования Amazon Virtual Private Cloud (Amazon VPC)

Безопасные контролируемые сетевые соединения

Amazon VPC предоставляет расширенные функции безопасности, благодаря которым можно выполнять входящую и исходящую фильтрацию на уровне инстансов и подсетей. Кроме того, если данные хранятся в Amazon S3, можно ограничить доступ к ним таким образом, что данные будут доступны только инстансам в VPC. В Amazon VPC также присутствуют функции мониторинга, благодаря которым можно осуществлять внеполосный мониторинг и линейный контроль трафика.

Простота настройки и использования

Благодаря простоте настройки Amazon VPC меньше времени уходит на конфигурацию, управление и проверку, поэтому можно сосредоточиться на создании приложений, работающих в VPC. Можно легко создать VPC в Консоли управления AWS или с помощью интерфейса командной строки (CLI). После выбора одной из наиболее распространенных сетевых конфигураций, которая лучше всего подходит для ваших потребностей, VPC автоматически создаст необходимые подсети, диапазоны IP-адресов, таблицы маршрутизации и группы безопасности. Настроив сеть, можно легко проверить ее с помощью Reachability Analyzer.

Настраиваемая виртуальная сеть

Amazon VPC позволяет контролировать среду виртуальной сети посредством выбора собственного диапазона IP-адресов, создания собственных подсетей и настройки таблиц маршрутизации для любых доступных шлюзов. Установить индивидуальную сетевую конфигурацию можно с помощью создания публичной подсети для своих веб-серверов с доступом к Интернету. Размещайте свои серверные системы, такие как базы данных или серверы приложений, в частной подсети. Благодаря Amazon VPC можно быть уверенными, что конфигурация virtual private cloud соответствует конкретным потребностям бизнеса.

Примеры использования

Размещение простого публичного веб‑сайта

Размещайте базовое интернет‑приложение, например блог или простой сайт, в сервисе VPC и получайте дополнительный уровень конфиденциальности и безопасности, предоставляемый Amazon VPC. Чтобы повысить безопасность веб‑сайта, можно создавать правила группы безопасности, которые позволят веб‑серверу реагировать на входящие HTTP- и SSL‑запросы из Интернета, одновременно запрещая веб‑серверу инициировать исходящие соединения с Интернетом. Чтобы создать VPC, которое поддерживает такой пример использования, нужно выбрать пункт «VPC with a Single Public Subnet Only» (Облако VPC, состоящее из одной публичной подсети) в мастере консоли Amazon VPC.

Размещение многоуровневых интернет‑приложений

Размещайте многоуровневые интернет‑приложения и строго контролируйте соблюдение прав доступа и ограничений безопасности между веб‑серверами, серверами приложений и базами данных. Запускайте веб‑серверы в публичной подсети, а серверы приложений и базы данных – в частных подсетях. Таким образом, невозможно будет получить доступ к серверам приложений и базам данных непосредственно из Интернета. Доступ между серверами и подсетями можно контролировать, используя фильтрацию входящих и исходящих пакетов, осуществляемую посредством сетевых списков контроля доступа и групп безопасности. Чтобы создать VPC, которое будет поддерживать такой пример использования, нужно выбрать пункт «VPC with Public and Private Subnets» (Облако VPC, включающее публичные и частные подсети) в мастере консоли Amazon VPC.

Резервное копирование и восстановление данных после аварии

Аварийное восстановление с Amazon VPC предоставляет все преимущества аварийного восстановления по цене, которая составит лишь часть от стоимости таких процессов. Можно периодически создавать резервную копию критически важных данных, которые хранятся в центре обработки данных, для небольшого числа инстансов Amazon EC2 с томами Amazon Elastic Block Store (EBS) или импортировать образы виртуальных машин в Amazon EC2. Amazon VPC дает возможность быстро запускать резервный объем вычислительных ресурсов на AWS, чтобы обеспечить беспрерывное функционирование систем. По завершении аварийной ситуации можно отправить критически важные данные обратно в центр обработки данных и прекратить использование инстансов Amazon EC2, которые больше не требуются.

Расширение корпоративной сети в облако

Перемещайте корпоративные приложения в облако, запускайте дополнительные веб‑серверы или добавляйте к сети вычислительные ресурсы, подключив VPC к корпоративной сети. Так как сервис VPC можно разместить за корпоративным брандмауэром, это позволяет просто перемещать ИТ‑ресурсы в облако, не меняя способ доступа пользователей к этим приложениям. Кроме того, можно устроить хостинг подсетей VPC в AWS Outposts, сервисе, который позволяет использовать оригинальные сервисы, инфраструктуру и операционные модели AWS практически в любых центрах обработки данных, колокационных центрах или на локальных объектах. Чтобы создать VPC, которое будет поддерживать такой пример использования, нужно выбрать пункт «VPC with a Private Subnet Only and Hardware VPN Access» (Облако VPC с частной подсетью и аппаратным доступом) в мастере консоли Amazon VPC.

Безопасное подключение облачных приложений к центру обработки данных

VPN‑подключение по стандарту IPsec между Amazon VPC и корпоративной сетью зашифровывает взаимодействие между серверами приложений в облаке и базами данных в собственном центре обработки данных. Веб‑серверы и серверы приложений в VPC могут использовать эластичность Amazon EC2 и возможности Auto Scaling, увеличивая либо уменьшая объем ресурсов по мере необходимости. Чтобы создать VPC, которое будет поддерживать такой пример использования, нужно выбрать пункт «VPC with Public and Private Subnets and Hardware VPN Access» (Облако VPC с частными и публичными подсетями и аппаратным VPN-доступом) в мастере консоли Amazon VPC.

Партнеры

Paloalto Logo
«Интеграция виртуального межсетевого брандмауэра следующего поколения VM с новой функцией маршрутизации входных данных в сервисе Amazon VPC значительно упрощает заказчикам фильтрацию всего входящего трафика в их VPC через наши службы предотвращения угроз. Использовав виртуальный брандмауэр серии VM в качестве защиты в своих средах разработки, клиенты могут эффективно контролировать входящий трафик из Интернета и своих центров обработки данных».

– Мукеш Гупта, вице-президент по управлению продуктами в VP, VM-Series

Fortinet_Logo
«Маршрутизация входных данных в сервисе Amazon VPC позволяет Fortinet повышать доверие клиентов, обеспечивая сетевую безопасность Fortinet для любого трафика, входящего в критически важные для бизнеса сервисы VPC. Маршрутизация входных данных в сервисе VPC также предоставляет гораздо более гибкие решения, которые помогают защитить различные рабочие нагрузки с помощью отдельных продуктов Fortinet в едином VPC. В конечном итоге, более безопасная и гибкая архитектура поможет клиентам снизить риски, связанные с неправильной настройкой, и еще больше расширить развертывание облачных технологий».

– Лиор Коэн-старший, директор по продуктам и решениям безопасности данных в облаке, Fortinet

CP_logo
«Наши корпоративные клиенты обычно используют AWS Transit Gateway для развертывания усовершенствованной системы предотвращения угроз CloudGuard, но это решение не подходит для малых и средних предприятий с ограниченным количеством VPC. Усовершенствование маршрутизации входных данных в сервисе VPC предоставляет клиентам развертывания в более узком масштабе с более простым, эффективным и естественным способом перенаправления трафика, поступающего в VPC, для расширения возможностей обеспечения безопасности».

– Зохар Алон, руководитель отдела облачных продуктов, Check Point Software

Barracuda_Logo
«Маршрутизация входных данных в сервисе VPC позволяет нашим клиентам просматривать весь внешний трафик через брандмауэр CloudGen от Barracuda, прежде чем он достигнет пункта назначения. Используя входную маршрутизацию VPC, клиенты теперь могут применять настраиваемые политики углубленной проверки пакетов в зависимости от места назначения. Маршрутизация входных данных в сервисе VPC встроена в Amazon VPC и упрощает развертывание встроенных решений облачной безопасности Barracuda для наших клиентов».

– Клаус Гери, исполнительный директор / вице-президент по сетевой безопасности, Barracuda Networks

Sophos_Logo
«Крайне важно, чтобы организации защищали облачную инфраструктуру, в том числе трафик внутри, поскольку киберпреступники все чаще нацеливаются и проводят расширенные атаки на эти облачные среды. AWS и Sophos решают проблему облачной безопасности. Благодаря расширенной поддержке входящей маршрутизации Sophos UTM обеспечивает дополнительный уровень безопасности, обеспечивающий защиту входящего и исходящего трафика VPC и других виртуальных устройств».

– Энди Миллер, старший директор по вопросам глобального публичного облака, Sophos

Aviatrix Logo
«Используя новую усовершенствованную маршрутизацию входных данных в сервисе Amazon VPC, клиенты теперь могут направлять сетевой трафик VPC через расширенные встроенные сервисы. Собственное сетевое программное обеспечение Aviatrix охватывает и расширяет собственные сервисы AWS – в этом случае новая маршрутизация входных данных в сервисе Amazon VPC в сочетании с сервисами AWS GuardDuty обеспечивает входящие и исходящие политики принудительного применения через шлюзы Aviatrix».

– Шерри Вэй, сооснователь и директор по продуктам, Aviatrix

citrix-logo-black
«Пользователям сегодня все равно, где размещены приложения, необходимые для их работы. Они просто хотят, чтобы они работали последовательно и надежно, чтобы они могли эффективно добиваться поставленных целей. Благодаря интеграции между Citrix® ADC и маршрутизацией входных данных в сервисе Amazon VPC от AWS мы можем предложить проверенное решение корпоративного класса для широкого круга пользователей в удобной модели доставки и обеспечить высокую производительность, позволяющую людям оптимально выполнять свою работу».

– Михир Маниар, вице-президент по управлению продуктами и сетями, Citrix

Trend Micro Logo
«Trend Micro обеспечивает многоуровневую гибридную облачную безопасность для тысяч клиентов в AWS. Маршрутизация входных данных в сервисе Amazon VPC обеспечивает улучшенное развертывание и повышенную гибкость наших решений для безопасности облачных сетей, позволяя клиентам быстро защищать свои VPS от AWS в необходимом масштабе и не нарушая работу приложений для бизнеса».

– Стив Куэн, исполнительный вице-президент по защите в сети и гибридной облачной безопасности, Trend Micro

Fire Eye Logo.1e32bd3851f0c10b78513de3684c90b37469f0ab
«Клиенты FireEye Network Security уже получили возможность применять расширенную защиту от угроз и обнаружение нарушений в своих средах AWS. Объявление о запуске маршрутизации входных данных в сервисе Amazon VPC делает развертывание решения FireEye Network Security в AWS еще проще. Эта новая функция позволит клиентам перенаправлять вертикальный трафик, входящий и исходящий из VPC через интернет-шлюз и шлюз виртуальной частной сети, к сторонним устройствам. Это устраняет необходимость в использовании шлюза NAT. Это позволяет клиентам направлять трафик на определенные устройства для специализированного сканирования. Клиенты FireEye выигрывают от простоты развертывания и более тесной интеграции со своими локальными, частными и общедоступными облачными центрами обработки данных».

– Рамеш Гупта, генеральный директор по продуктам сетевой безопасности, FireEye

Versa Logo
«Платформа управления и оркестровки Versa SD-WAN предлагает комплексную автоматизацию рабочего процесса, включая создание и дальнейшую поддержку периферийного устройства WAN на AWS. Теперь клиенты также могут использовать маршрутизацию входных данных в сервисе Amazon VPC для перенаправления трафика, входящего и исходящего из VPC через шлюз Интернета и шлюз виртуальной частной сети, на локальные устройства безопасности Versa NGFW».

– Директор по маркетингу, Versa Networks

ShieldX_Logo
«Платформа безопасности ShieldX Elastic Security Platform (ESP) создана для защиты современных мультиоблачных центров обработки данных. ESP – это безагентное облачно-независимое решение, предназначенное для предоставления комплексных и согласованных мер безопасности для защиты динамических центров обработки данных, облачных инфраструктур, приложений и данных, независимо от того, где они находятся и куда направляются. Будучи партнером AWS, ShieldX интегрируется с сетевыми функциями AWS, такими как зеркалирование трафика VPC и маршрутизация входных данных в сервисе VPC, чтобы обеспечить непрерывное обнаружение ресурсов, автоматическое создание политики безопасности сети и проверку уровня 7. Вместе они предлагают предприятиям комплексное решение для мониторинга и предотвращения прохождения сетевого трафика как вертикально, так и горизонтально в публичном облаке AWS».

– Кен Левайн, генеральный директор, ShieldX

Vectra Logo
«Маршрутизация входных данных в сервисе Amazon VPC позволяет нашим клиентам проверять весь внешний трафик до того, как он попадет в подсети. Он встроен в Amazon VPC и облегчает нашим клиентам развертывание облачных решений для обнаружения вторжений в сеть и реагирования на них».

– Кевин Шеу, вице-президент по маркетингу продуктов в Vectra

IBM Security Logo
«IBM Security помогает клиентам максимально повысить эффективность своих собственных настроек безопасности AWS. Мы помогаем нашим клиентам в разработке архитектуры безопасности, а также в выборе и развертывании элементов управления AWS, которые обеспечивают высочайший уровень безопасности. Маршрутизация входных данных в сервисе Amazon VPC предоставляет нам гибкость в развертывании решений для обеспечения безопасности на периферии VPC, позволяя экранировать и перехватывать горизонтальный трафик, прежде чем он достигнет рабочих нагрузок, содержащихся в VPC».

– Майк Сандерс, программный директор по вопросам разработки стратегий обеспечения безопасности в облаке, IBM Security Services

Lastline Logo
«Благодаря нашей собственной платформе обнаружения и реагирования в облачной сети, Lastline тесно сотрудничает с AWS, чтобы обеспечить повышение уровня безопасности данных клиентов в AWS. Маршрутизация входных данных в сервисе Amazon VPC позволяет предоставлять нашим клиентам непревзойденную гибкость и прозрачность линейного трафика в их сети AWS».

– Кристофер Крюгель, доктор философии, соучредитель и директор по продукту, Lastline

Netscout Logo black
«Недавно анонсированное усовершенствование решения по маршрутизации входных данных в сервисе Amazon VPC в сочетании с зеркалированием трафика Amazon VPC позволяет NETSCOUT эффективно контролировать трафик внутри и между VPC в AWS, а также эффективно использовать его для обеспечения отслеживания без границ в локальном центре обработки данных, AWS и гибридном облаке».

– Брюс Келли-младший, старший вице-президент, главный технолог, поставщик услуг, NETSCOUT

Valtix_Logo
Сначала выполняется обнаружение приложений, затем развертывание сетевой безопасности. При этом приложения в регионах AWS непрерывно защищаются. Это своеобразная революция в сфере безопасности встроенной облачной сети, которая происходит благодаря Valtix. Маршрутизация входных данных в сервисе Amazon VPC позволяет облачным кластерам брандмауэра Valtix получать доступ к трафику приложений из Интернета и между подсетями внутри VPC, обеспечивая полную прозрачность сетевого трафика для корпоративных приложений AWS».

– Виджай Чандер, технический директор, Valtix

128T Logo
«Предприятиям требуются более безопасные и надежные соединения между сервисами VPC Amazon и центром обработки данных, а маршрутизатор Session Smart™ от 128 Technology обеспечивает заказчикам высокий уровень безопасности и надежности, при этом уменьшая сложность в работе. С добавлением маршрутизации входных данных в сервисе VPC наши клиенты получат еще больший контроль над трафиком, входящим в VPC Amazon. Компания 128 Technology рада быть среди выбранной группы партнеров, поддерживающих этот сервис».

– Энди Ори, генеральный директор, 128 Technology

Forcepoint
«В наши дни, когда сотрудники становятся все более мобильными, а бизнес-среды имеют глобальное влияние, облачное решение NGFW от Forcepoint обеспечивает безопасный и беспрепятственный доступ к критически важным данным и интеллектуальной собственности повсюду, одновременно снижая риск атак нулевого дня и других новых угроз в гибридном ИТ-стеке организации. Добавление возможности входной маршрутизации Amazon VPC позволяет клиентам Forcepoint NGFW пользоваться большей универсальностью в сегментации сетевой безопасности, а также оптимально использовать возможности безопасности, аналогично тому, как мы используем ее в платформе безопасности Forcepoint для предоставления сервисов Dynamic Edge Protection».

– Николас Фишбах, международный технический директор, Forcepoint

Начать работу с Amazon VPC

Ресурсы AWS автоматически выделяются для пользователей в готовом к использованию облаке VPC по умолчанию. Настраивайте его, добавляя или удаляя подсети, присоединяя сетевые шлюзы, внося изменения в таблицу маршрутизации по умолчанию и в сетевые списки контроля доступа.

Создавайте дополнительные облака VPC на странице Amazon VPC в Консоли управления AWS, нажав кнопку «Start VPC Wizard» (Запустить мастер создания VPC). На выбор предлагаются четыре основных топологии сети. Выберите из них ту, которая лучше всего соответствует топологии сети, которую вы желаете создать, и нажмите на кнопку «Create VPC» (Создать VPC). Затем можно настроить топологию в соответствии с вашими потребностями. Вскоре после этого вы можете начать запускать инстансы Amazon EC2 внутри своего сервиса VPC.

Статьи и публикации в блоге

дата
  • дата
1
Готовы приступить к разработке?
Начать работу с Amazon VPC
Есть вопросы?
Связаться с нами