Amazon Virtual Private Cloud

Выделите логически изолированный раздел облака AWS, в котором можно запускать ресурсы AWS в самостоятельно заданной виртуальной сети

Amazon Virtual Private Cloud (Amazon VPC) – это логически изолированный раздел облака AWS, в котором можно запускать ресурсы AWS в самостоятельно заданной виртуальной сети. Таким образом можно полностью контролировать среду виртуальной сети, в том числе выбирать собственный диапазон IP‑адресов, создавать подсети, а также настраивать таблицы маршрутизации и сетевые шлюзы. Для обеспечения удобного и безопасного доступа к ресурсам и приложениям в VPC можно использовать как IPv4, так и IPv6.

Сетевую конфигурацию Amazon VPC можно просто настроить по своему усмотрению. Например, вы можете создать общедоступную подсеть для своих веб-серверов, имеющих доступ к Интернету. Вы также можете поместить свои серверные системы, такие как базы данных или серверы приложений, в частную подсеть без доступа к Интернету. Сервис использует многоуровневую систему безопасности, которая состоит из групп безопасности и сетевых списков контроля доступа (NACL). Такая система позволяет контролировать доступ к инстансам Amazon EC2 в каждой подсети.

Основная информация и варианты подключения VPC (50:50)

Преимущества

Безопасность

Amazon VPC предоставляет расширенные возможности обеспечения безопасности, такие как группы безопасности и сетевые списки контроля доступа, обеспечивая фильтрацию входящего и исходящего трафика на уровне инстанса или подсети соответственно. Кроме того, если данные хранятся в Amazon S3, можно ограничить доступ к ним таким образом, что данные будут доступны только инстансам в VPC. Для дополнительной безопасности, можно создать выделенные инстансы, которые физически изолированы от других учетных записей AWS на аппаратном уровне.

Простота

Создавайте VPC быстро и просто с помощью Консоли управления AWS. Среди общих сетевых настроек выбирайте те, которые оптимально соответствует конкретным потребностям. Подсети, диапазоны IP-адресов, таблицы маршрутизации и группы безопасности создаются автоматически. Это позволяет тратить меньше времени на настройку и управление, поэтому можно сосредоточиться на создании приложений, запускающихся в VPC.

Возможность настройки

Контролируйте среду виртуальной сети, в том числе выбирайте собственный диапазон IP‑адресов, создавайте подсети, а также настраивайте таблицы маршрутизации и сетевые шлюзы. Настраивайте конфигурацию сети путем создания публичной подсети с доступом к Интернету и расположения внутренних систем, таких как базы данных или сервера приложений, в частной подсети без доступа к Интернету.

Примеры использования

Размещение простого публичного веб‑сайта

Размещайте базовое интернет‑приложение, например, блог или простой сайт, в сервисе VPC и получайте дополнительный уровень конфиденциальности и безопасности, предоставляемый Amazon VPC. Чтобы повысить безопасность веб‑сайта, можно создавать правила группы безопасности, которые позволят веб‑серверу реагировать на входящие HTTP- и SSL‑запросы из Интернета, одновременно запрещая веб‑серверу инициировать исходящие соединения с Интернетом. Чтобы создать VPC, которое будет поддерживать такой пример использования, нужно выбрать пункт «VPC with a Single Public Subnet Only» в мастере консоли Amazon VPC.

Размещение многоуровневых интернет‑приложений

Размещайте многоуровневые интернет‑приложения и строго контролируйте соблюдение прав доступа и ограничений безопасности между веб‑серверами, серверами приложений и базами данных. Запускайте веб-серверы в общедоступной подсети, в то время как серверы приложений и базы данных будут находиться в частных подсетях. Таким образом доступ к серверам приложений и базам данных нельзя будет получить напрямую из Интернета. Доступ между серверами и подсетями можно контролировать, используя фильтрацию входящих и исходящих пакетов, осуществляемую посредством сетевых списков контроля доступа и групп безопасности. Чтобы создать VPC, которое будет поддерживать такой пример использования, нужно выбрать пункт «VPC with Public and Private Subnets» в мастере консоли Amazon VPC.

Аварийное восстановление

Аварийное восстановление с Amazon VPC позволяет использовать все преимущества аварийного восстановления по цене, которая составит лишь часть от стоимости таких процессов. Можно периодически создавать резервную копию критически важных данных, которые хранятся в центре обработки данных, для небольшого числа инстансов Amazon EC2 с томами Amazon Elastic Block Store (EBS) или импортировать образы виртуальных машин в Amazon EC2. Чтобы обеспечить беспрерывное функционирование систем, быстро запускайте резервный объем вычислительных ресурсов на AWS. По завершении аварийной ситуации можно отправить критически важные данные обратно в центр обработки данных и прекратить использование инстансов Amazon EC2, которые больше не требуются.

Расширение корпоративной сети в облако

Перемещайте корпоративные приложения в облако, запускайте дополнительные веб‑серверы или добавляйте к сети вычислительные ресурсы, подключив VPC к корпоративной сети. Так как сервис VPC можно разместить за корпоративным брандмауэром, это позволяет просто перемещать ИТ‑ресурсы в облако, не меняя способ доступа пользователей к этим приложениям. Чтобы создать VPC, которое будет поддерживать такой пример использования, нужно выбрать пункт «VPC with a Private Subnet Only and Hardware VPN Access» в мастере консоли Amazon VPC.

Безопасно подключайте облачные приложения к вашему центру обработки данных

VPN‑подключение по стандарту IPsec между Amazon VPC и корпоративной сетью зашифровывает взаимодействие между серверами приложений в облаке и базами данных в собственном центре обработки данных. Веб‑серверы и серверы приложений в VPC могут использовать эластичность Amazon EC2 и возможности Auto Scaling, увеличивая либо уменьшая объем ресурсов по мере необходимости. Чтобы создать VPC, которое будет поддерживать такой пример использования, нужно выбрать пункт «VPC with Public and Private Subnets and Hardware VPN Access» в мастере консоли Amazon VPC.

Внеполосный и линейный контроль трафика

Зеркалирование трафика Amazon VPC дублирует трафик вместе с полными данными полезной нагрузки от эластичных сетевых интерфейсов (ENI) инстансов EC2 и передает его инструментам внеполосного мониторинга и анализа безопасности.

Маршрутизация входных данных Amazon VPC позволяет легко развертывать сетевые устройства и устройства безопасности, включая предложения сторонних производителей, в соответствии с входящим или исходящим трафиком Amazon VPC. Встроенная проверка трафика помогает вам отслеживать и защищать трафик, чтобы обезопасить ваши рабочие нагрузки от злоумышленников.

Партнеры

Paloalto Logo
«Интеграция виртуального межсетевого брандмауэра следующего поколения VM с новой функцией маршрутизации входных данных в сервисе Amazon VPC значительно упрощает заказчикам фильтрацию всего входящего трафика в их VPC через наши службы предотвращения угроз. Использовав виртуальный брандмауэр серии VM в качестве защиты в своих средах разработки, клиенты могут эффективно контролировать входящий трафик из Интернета и своих центров обработки данных».

– Мукеш Гупта, вице-президент по управлению продуктами в VP, VM-Series

Fortinet_Logo
«Маршрутизация входных данных в сервисе Amazon VPC позволяет Fortinet повышать доверие клиентов, обеспечивая сетевую безопасность Fortinet для любого трафика, входящего в критически важные для бизнеса сервисы VPC. Маршрутизация входных данных в сервисе VPC также предоставляет гораздо более гибкие решения, которые помогают защитить различные рабочие нагрузки с помощью отдельных продуктов Fortinet в едином VPC. В конечном итоге, более безопасная и гибкая архитектура поможет клиентам снизить риски, связанные с неправильной настройкой, и еще больше расширить развертывание облачных технологий».

– Лиор Коэн-старший, директор по продуктам и решениям безопасности данных в облаке, Fortinet

CP_logo
«Наши корпоративные клиенты обычно используют AWS Transit Gateway для развертывания усовершенствованной системы предотвращения угроз CloudGuard, но это решение не подходит для малых и средних предприятий с ограниченным количеством VPC. Усовершенствование маршрутизации входных данных в сервисе VPC предоставляет клиентам развертывания в более узком масштабе с более простым, эффективным и естественным способом перенаправления трафика, поступающего в VPC, для расширения возможностей обеспечения безопасности».

– Зохар Алон, руководитель отдела облачных продуктов, Check Point Software

Barracuda_Logo
«Маршрутизация входных данных в сервисе VPC позволяет нашим клиентам просматривать весь внешний трафик через брандмауэр CloudGen от Barracuda, прежде чем он достигнет пункта назначения. Используя входную маршрутизацию VPC, клиенты теперь могут применять настраиваемые политики углубленной проверки пакетов в зависимости от места назначения. Маршрутизация входных данных в сервисе VPC встроена в Amazon VPC и упрощает развертывание встроенных решений облачной безопасности Barracuda для наших клиентов».

– Клаус Гери, исполнительный директор / вице-президент по сетевой безопасности, Barracuda Networks

Sophos_Logo
«Крайне важно, чтобы организации защищали облачную инфраструктуру, в том числе трафик внутри, поскольку киберпреступники все чаще нацеливаются и проводят расширенные атаки на эти облачные среды. AWS и Sophos решают проблему облачной безопасности. Благодаря расширенной поддержке входящей маршрутизации Sophos UTM обеспечивает дополнительный уровень безопасности, обеспечивающий защиту входящего и исходящего трафика VPC и других виртуальных устройств».

– Энди Миллер, старший директор по вопросам глобального публичного облака, Sophos

Aviatrix Logo
«Используя новую усовершенствованную маршрутизацию входных данных в сервисе Amazon VPC, клиенты теперь могут направлять сетевой трафик VPC через расширенные встроенные сервисы. Собственное сетевое программное обеспечение Aviatrix охватывает и расширяет собственные сервисы AWS – в этом случае новая маршрутизация входных данных в сервисе Amazon VPC в сочетании с сервисами AWS GuardDuty обеспечивает входящие и исходящие политики принудительного применения через шлюзы Aviatrix».

– Шерри Вэй, сооснователь и директор по продуктам, Aviatrix

citrix-logo-black
«Пользователям сегодня все равно, где размещены приложения, необходимые для их работы. Они просто хотят, чтобы они работали последовательно и надежно, чтобы они могли эффективно добиваться поставленных целей. Благодаря интеграции между Citrix® ADC и маршрутизацией входных данных в сервисе Amazon VPC от AWS мы можем предложить проверенное решение корпоративного класса для широкого круга пользователей в удобной модели доставки и обеспечить высокую производительность, позволяющую людям оптимально выполнять свою работу».

– Михир Маниар, вице-президент по управлению продуктами и сетями, Citrix

Trend Micro Logo
«Trend Micro обеспечивает многоуровневую гибридную облачную безопасность для тысяч клиентов в AWS. Маршрутизация входных данных в сервисе Amazon VPC обеспечивает улучшенное развертывание и повышенную гибкость наших решений для безопасности облачных сетей, позволяя клиентам быстро защищать свои VPS от AWS в необходимом масштабе и не нарушая работу приложений для бизнеса».

– Стив Куэн, исполнительный вице-президент по защите в сети и гибридной облачной безопасности, Trend Micro

Fire Eye Logo.1e32bd3851f0c10b78513de3684c90b37469f0ab
«Клиенты FireEye Network Security уже получили возможность применять расширенную защиту от угроз и обнаружение нарушений в своих средах AWS. Объявление о запуске маршрутизации входных данных в сервисе Amazon VPC делает развертывание решения FireEye Network Security в AWS еще проще. Эта новая функция позволит клиентам перенаправлять вертикальный трафик, входящий и исходящий из VPC через интернет-шлюз и шлюз виртуальной частной сети, к сторонним устройствам. Это устраняет необходимость в использовании шлюза NAT. Это позволяет клиентам направлять трафик на определенные устройства для специализированного сканирования. Клиенты FireEye выигрывают от простоты развертывания и более тесной интеграции со своими локальными, частными и общедоступными облачными центрами обработки данных».

– Рамеш Гупта, генеральный директор по продуктам сетевой безопасности, FireEye

Versa Logo
«Платформа управления и оркестровки Versa SD-WAN предлагает комплексную автоматизацию рабочего процесса, включая создание и дальнейшую поддержку периферийного устройства WAN на AWS. Теперь клиенты также могут использовать маршрутизацию входных данных в сервисе Amazon VPC для перенаправления трафика, входящего и исходящего из VPC через шлюз Интернета и шлюз виртуальной частной сети, на локальные устройства безопасности Versa NGFW».

– Директор по маркетингу, Versa Networks

ShieldX_Logo
«Платформа безопасности ShieldX Elastic Security Platform (ESP) создана для защиты современных мультиоблачных центров обработки данных. ESP – это безагентное облачно-независимое решение, предназначенное для предоставления комплексных и согласованных мер безопасности для защиты динамических центров обработки данных, облачных инфраструктур, приложений и данных, независимо от того, где они находятся и куда направляются. Будучи партнером AWS, ShieldX интегрируется с сетевыми функциями AWS, такими как зеркалирование трафика VPC и маршрутизация входных данных в сервисе VPC, чтобы обеспечить непрерывное обнаружение ресурсов, автоматическое создание политики безопасности сети и проверку уровня 7. Вместе они предлагают предприятиям комплексное решение для мониторинга и предотвращения прохождения сетевого трафика как вертикально, так и горизонтально в публичном облаке AWS».

– Кен Левайн, генеральный директор, ShieldX

Vectra Logo
«Маршрутизация входных данных в сервисе Amazon VPC позволяет нашим клиентам проверять весь внешний трафик до того, как он попадет в подсети. Он встроен в Amazon VPC и облегчает нашим клиентам развертывание облачных решений для обнаружения вторжений в сеть и реагирования на них».

– Кевин Шеу, вице-президент по маркетингу продуктов в Vectra

IBM Security Logo
«IBM Security помогает клиентам максимально повысить эффективность своих собственных настроек безопасности AWS. Мы помогаем нашим клиентам в разработке архитектуры безопасности, а также в выборе и развертывании элементов управления AWS, которые обеспечивают высочайший уровень безопасности. Маршрутизация входных данных в сервисе Amazon VPC предоставляет нам гибкость в развертывании решений для обеспечения безопасности на периферии VPC, позволяя экранировать и перехватывать горизонтальный трафик, прежде чем он достигнет рабочих нагрузок, содержащихся в VPC».

– Майк Сандерс, программный директор по вопросам разработки стратегий обеспечения безопасности в облаке, IBM Security Services

Lastline Logo
«Благодаря нашей собственной платформе обнаружения и реагирования в облачной сети, Lastline тесно сотрудничает с AWS, чтобы обеспечить повышение уровня безопасности данных клиентов в AWS. Маршрутизация входных данных в сервисе Amazon VPC позволяет предоставлять нашим клиентам непревзойденную гибкость и прозрачность линейного трафика в их сети AWS».

– Кристофер Крюгель, доктор философии, соучредитель и директор по продукту, Lastline

Netscout Logo black
«Недавно анонсированное усовершенствование решения по маршрутизации входных данных в сервисе Amazon VPC в сочетании с зеркалированием трафика Amazon VPC позволяет NETSCOUT эффективно контролировать трафик внутри и между VPC в AWS, а также эффективно использовать его для обеспечения отслеживания без границ в локальном центре обработки данных, AWS и гибридном облаке».

– Брюс Келли-младший, старший вице-президент, главный технолог, поставщик услуг, NETSCOUT

Valtix_Logo
Сначала выполняется обнаружение приложений, затем развертывание сетевой безопасности. При этом приложения в регионах AWS непрерывно защищаются. Это своеобразная революция в сфере безопасности встроенной облачной сети, которая происходит благодаря Valtix. Маршрутизация входных данных в сервисе Amazon VPC позволяет облачным кластерам брандмауэра Valtix получать доступ к трафику приложений из Интернета и между подсетями внутри VPC, обеспечивая полную прозрачность сетевого трафика для корпоративных приложений AWS».

– Виджай Чандер, технический директор, Valtix

128T Logo
«Предприятиям требуются более безопасные и надежные соединения между сервисами VPC Amazon и центром обработки данных, а маршрутизатор Session Smart™ от 128 Technology обеспечивает заказчикам высокий уровень безопасности и надежности, при этом уменьшая сложность в работе. С добавлением маршрутизации входных данных в сервисе VPC наши клиенты получат еще больший контроль над трафиком, входящим в VPC Amazon. Компания 128 Technology рада быть среди выбранной группы партнеров, поддерживающих этот сервис».

– Энди Ори, генеральный директор, 128 Technology

Forcepoint
«В наши дни, когда сотрудники становятся все более мобильными, а бизнес-среды имеют глобальное влияние, облачное решение NGFW от Forcepoint обеспечивает безопасный и беспрепятственный доступ к критически важным данным и интеллектуальной собственности повсюду, одновременно снижая риск атак нулевого дня и других новых угроз в гибридном ИТ-стеке организации. Добавление возможности входной маршрутизации Amazon VPC позволяет клиентам Forcepoint NGFW пользоваться большей универсальностью в сегментации сетевой безопасности, а также оптимально использовать возможности безопасности, аналогично тому, как мы используем ее в платформе безопасности Forcepoint для предоставления сервисов Dynamic Edge Protection».

– Николас Фишбах, международный технический директор, Forcepoint

Начать работу с Amazon VPC

Ресурсы AWS автоматически выделяются для пользователей в готовом к использованию облаке VPC по умолчанию. Настраивайте его, добавляя или удаляя подсети, присоединяя сетевые шлюзы, внося изменения в таблицу маршрутизации по умолчанию и в сетевые списки контроля доступа.

Создавайте дополнительные облака VPC на странице Amazon VPC в Консоли управления AWS, нажав кнопку «Start VPC Wizard» (Запустить мастер создания VPC). На выбор предлагаются четыре основных топологии сети. Выберите из них ту, которая лучше всего соответствует топологии сети, которую вы желаете создать, и нажмите на кнопку «Create VPC» (Создать VPC). Затем можно настроить топологию в соответствии с вашими потребностями. Вскоре после этого вы можете начать запускать инстансы Amazon EC2 внутри своего сервиса VPC.

Статьи и публикации в блоге

Debugging tool for network connectivity from Amazon VPC
Бхавин Десай
 
19 января 2019 г.
VPC sharing: A new approach to multiple accounts and VPC management
Евгений Ваганов  
 
11 января 2019 г.
Готовы приступить к разработке?
Начать работу с Amazon VPC
Есть вопросы?
Свяжитесь с нами