Amazon Virtual Private Cloud

Выделите логически изолированный раздел облака Amazon Web Services (AWS), в котором можно запускать ресурсы AWS в самостоятельно заданной виртуальной сети

Amazon Virtual Private Cloud (Amazon VPC) – это логически изолированный раздел облака AWS, в котором можно запускать ресурсы AWS в самостоятельно заданной виртуальной сети. Таким образом можно полностью контролировать среду виртуальной сети, в том числе выбирать собственный диапазон IP‑адресов, создавать подсети, а также настраивать таблицы маршрутизации и сетевые шлюзы. Для обеспечения удобного и безопасного доступа к ресурсам и приложениям в VPC можно использовать как IPv4, так и IPv6.

Сетевую конфигурацию Amazon VPC можно просто настраивать по своему усмотрению. Например, для веб‑серверов можно создать публичную подсеть с выходом в Интернет, а внутренние системы, такие как базы данных или серверы приложений, расположить в частной подсети без доступа к Интернету. Сервис предоставляет клиентам многоуровневую систему безопасности, которая состоит из групп безопасности и сетевых списков контроля доступа. Такая система помогает контролировать доступ к инстансам Amazon EC2 в каждой подсети.

Простой и безопасный доступ к сервисам, размещенным на AWS.

aws_privatelink_logo

Преимущества

Безопасность

Amazon VPC предоставляет расширенные возможности обеспечения безопасности, такие как группы безопасности и сетевые списки контроля доступа, обеспечивая фильтрацию входящего и исходящего трафика на уровне инстанса или уровне подсети соответственно. Кроме того, если данные хранятся в Amazon S3, можно ограничить доступ к ним таким образом, что данные будут доступны только инстансам в VPC. Для дополнительной изоляции также можно запускать выделенные инстансы на оборудовании, выделенном в распоряжение одному клиенту.

Простота

VPC можно быстро и просто создать с помощью Консоли управления AWS. Выберите одну из наиболее распространенных сетевых конфигураций, которая оптимально соответствует конкретным потребностям, и нажмите кнопку «Start VPC Wizard». Подсети, диапазоны IP‑адресов, таблицы маршрутизации и группы безопасности создаются автоматически, что позволяет сосредоточиться на создании приложений, которые будут работать в VPC.

Все возможности масштабируемости и надежности AWS

Amazon VPC обеспечивает те же преимущества, что и другие сервисы платформы AWS. Сервис позволяет мгновенно масштабировать ресурсы, выбирая типы инстансов Amazon EC2 и размеры, которые подходят для конкретных приложений, платить только за те ресурсы, которые используются, – и все это в пределах проверенной инфраструктуры Amazon.

Возможности

Различные варианты подключения

Для Amazon VPC существуют различные варианты подключения. Можно подключить VPC к Интернету, к центру обработки данных или другому VPC, в зависимости от того, какие ресурсы AWS необходимо сделать общедоступными, а какие оставить частными.

  • Непосредственное подключение к Интернету (публичные подсети): позволяет запустить инстанс в общедоступной подсети, где он сможет работать с исходящим и входящим интернет‑трафиком.
  • Подключение к Интернету с использованием трансляции сетевых адресов (частные подсети): частные подсети могут использоваться для инстансов, данные которых не должны быть доступны непосредственно из Интернета. Инстансы в частной подсети могут получать доступ к Интернету, не раскрывая свой частный IP‑адрес, что достигается путем маршрутизации трафика через шлюз системы трансляции сетевых адресов (NAT) в публичной подсети.
  • Безопасное подключение к корпоративному центру обработки данных: весь трафик от инстансов и к инстансам в сервисе VPC можно направить в корпоративный центр обработки данных, используя аппаратное VPN‑подключение, зашифрованное по отраслевым стандартам IPsec.
  • Частное подключение к другим VPC: настройте взаимодействие сервисов VPC, чтобы установить общий доступ к ресурсам в разных виртуальных сетях, принадлежащих тому же или другим аккаунтам AWS.
  • Создайте частное подключение к сервисам AWS через адрес VPC без использования интернет‑шлюза, NAT или прокси‑сервера брандмауэра. В число доступных сервисов входят S3, DynamoDB, Kinesis Streams, Service Catalog, AWS Systems Manager, SNS, а также API сервисов Elastic Load Balancing (ELB) и Amazon Elastic Compute Cloud (EC2).
  • Создайте частное подключение к решениям SaaS на основе технологии AWS PrivateLink.
  • Создайте частное подключение к внутренним сервисам для разных аккаунтов и VPC в пределах организации, чтобы значительно упростить внутреннюю сетевую архитектуру.
  • Используйте функцию зеркалирования трафика Amazon VPC для записи и зеркалирования трафика инстансов Amazon EC2.

Примеры использования

Размещение простого публичного веб‑сайта

Вы можете разместить базовое интернет‑приложение, например, блог или простой сайт, в сервисе VPC и получить дополнительный уровень конфиденциальности и безопасности, предоставляемый Amazon VPC. Чтобы повысить безопасность веб‑сайта, можно создавать правила группы безопасности, которые позволят веб‑серверу реагировать на входящие HTTP- и SSL‑запросы из Интернета, одновременно запрещая веб‑серверу инициировать исходящие соединения с Интернетом. Чтобы создать VPC, которое будет поддерживать такой пример использования, нужно выбрать пункт «VPC with a Single Public Subnet Only» в мастере консоли Amazon VPC.

Размещение многоуровневых интернет‑приложений

Сервис Amazon VPC можно использовать для размещения многоуровневых интернет‑приложений и строгого контроля за соблюдением прав доступа и ограничений безопасности между веб‑серверами, серверами приложений и базами данных. Можно запустить веб‑сервер в публичной подсети, а серверы приложений и баз данных в недоступных для общего пользования подсетях. Серверы приложений и баз данных не будут доступны непосредственно из Интернета, но при этом могут получить доступ к Интернету через шлюз NAT, например для загрузки файлов исправлений. Доступ между серверами и подсетями можно контролировать, используя фильтрацию входящих и исходящих пакетов, осуществляемую посредством сетевых списков контроля доступа и групп безопасности. Чтобы создать VPC, которое будет поддерживать такой пример использования, нужно выбрать пункт «VPC with Public and Private Subnets» в мастере консоли Amazon VPC.

Размещение масштабируемых интернет‑приложений в облаке AWS, подключенном к собственному центру обработки данных

Можно создать VPC, где инстансы в одной подсети, например веб‑серверы, будут обмениваться данными через Интернет, в то время как инстансы в другой подсети, например серверы приложений, будут связываться с базами данных в корпоративной сети. VPN‑подключение по стандарту IPsec между VPC и корпоративной сетью помогает обеспечить безопасное взаимодействие между серверами приложений в облаке и базами данных в собственном центре обработки данных. Веб‑серверы и серверы приложений в VPC могут использовать эластичность Amazon EC2 и возможности Auto Scaling, увеличивая либо уменьшая объем ресурсов по мере необходимости. Чтобы создать VPC, которое будет поддерживать такой пример использования, нужно выбрать пункт «VPC with Public and Private Subnets and Hardware VPN Access» в мастере консоли Amazon VPC.

Расширение корпоративной сети в облако

Можно перемещать корпоративные приложения в облако, запускать дополнительные веб‑серверы или добавлять к сети вычислительные ресурсы, подключив VPC к корпоративной сети. Так как сервис VPC можно разместить за корпоративным брандмауэром, это позволяет просто перемещать ИТ‑ресурсы в облако, не меняя способ доступа пользователей к этим приложениям. Чтобы создать VPC, которое будет поддерживать такой пример использования, нужно выбрать пункт «VPC with a Private Subnet Only and Hardware VPN Access» в мастере консоли Amazon VPC.

Аварийное восстановление

Можно периодически создавать резервную копию критически важных данных, которые хранятся в центре обработки данных, для небольшого числа инстансов Amazon EC2 с томами Amazon Elastic Block Store (EBS) или импортировать образы виртуальных машин в Amazon EC2. В случае аварийной ситуации в центре обработки данных это позволит быстро запустить резервный объем вычислительных ресурсов на AWS, обеспечив беспрерывное функционирование систем. По завершении аварийной ситуации можно отправить критически важные данные обратно в центр обработки данных и прекратить использование инстансов Amazon EC2, которые больше не требуются. Amazon VPC для аварийного восстановления позволяет использовать все преимущества аварийного восстановления по цене, которая во много раз меньше традиционных затрат в таких ситуациях.

Партнеры

«Ориентированная на облако сетевая компания Big Switch Networks одной из первых начала внедрять облачные инновации в корпоративные сети и системы мониторинга. Наше решение Big Monitoring Fabric (Big Mon) для визуального контроля и мониторинга спроектировано специально для использования в облаке. Решение позволяет предприятиям ускорить подключение приложений со строгими требованиями безопасности и соответствия к общедоступному облаку AWS. Интеграция Big Mon с API-интерфейсами зеркалирования трафика Amazon VPC обеспечивает мониторинг без агентов, эластичные средства визуального контроля и фильтрацию трафика с помощью одной панели контроллера. В AWS и локальных средах выполняются общие операционные рабочие процессы, что позволяет ИТ-компаниям реализовать непрерывный мониторинг для гибридного облака с меньшими затратами и более высоким уровнем безопасности и соответствия, а также обеспечить соблюдение операционных соглашений об уровне обслуживания».

Прашант Ганди, вице-президент и директор по продукту, Big Switch Networks

bigswitch-logo
Blue-Hexagon-Logo-Color (1)
«Наши клиенты получили множество преимуществ от функции защиты от угроз на основе глубокого обучения. Решение помогает бороться с угрозами для корпоративной сети в режиме реального времени. Возможность выявлять угрозы в облачных средах — это необходимый компонент нашей стратегии обеспечения безопасности. Зеркалирование трафика Amazon VPC гарантирует полный визуальный контроль всего трафика VPC. Кроме того, теперь мы можем реализовать скорость, эффективность и область охвата, предоставляемую нашим решением защиты от угроз на основе глубокого обучения, для всего трафика AWS. Клиенты Blue Hexagon теперь могут проводить согласованные проверки угроз с использованием глубокого обучения в различных сетях и в облаке с помощью одной консоли».

Саумитра Дас, технический директор и сооснователь компании Blue Hexagon

«Cisco Stealthwatch Cloud теперь полностью поддерживает зеркалирование трафика Amazon VPC, а также журналы потоков Amazon VPC, чтобы иметь доступ к данным телеметрии сетей клиентов. Зеркалирование трафика предоставляет дополнительные сведения о сети. Stealthwatch Cloud теперь может объединять их с другими данными телеметрии среды AWS, чтобы определить предупреждения системы безопасности, которые дают основания для конкретных действий».

Рон Штербенц, Cisco Stealthwatch Cloud

Print
corelight-horizontal-logo-rgb
«Corelight Sensors преобразует трафик в расширенные журналы, извлеченные файлы и пользовательские аналитические сведения, которые помогают в обеспечении безопасности. С помощью зеркалирования трафика Amazon VPC Corelight теперь может реализовать эти функции в облаке, чтобы предоставить командам обеспечения безопасности комплексные средства визуального контроля сред AWS, ускорить исследования в области безопасности, а также открыть новые мощные возможности выявления и устранения угроз».

Брайан Дай, директор по продукту, Corelight

«Многие наши клиенты переносят рабочие нагрузки в облако. Но до недавних пор облако было для них черным ящиком с точки зрения производительности и безопасности. Решение cPacket работает на основе зеркалирования трафика Amazon Virtual Private Cloud (Amazon VPC), позволяет устранять пробелы, предоставляет полный визуальный контроль, а также значительно упрощает переход в облако для наших клиентов».

Брендан О’Флаэрти, генеральный директор cPacket Networks

cPacket_logo_tagline_trans
Extrahop-Logo-Large-Transparent-Background_2013_11_26
«Интеграция зеркалирования трафика Amazon VPC в Reveal(x) Cloud помогла ExtraHop устранить многие преграды на пути к внедрению облачных технологий. Теперь уровень аналитики трафика в облаке не уступает показателям локальной среды. Визуальный контроль всегда был ключевым фактором безопасности. Объединив Reveal(x) с собственными функциями обеспечения безопасности AWS, мы получили визуальный контроль с беспрецедентным уровнем эффективности».

Майк Шюард | Главный директор, отдел информационной безопасности

«Нативная поддержка зеркалирования трафика Amazon VPC в AWS упрощает и ускоряет анализ трафика Fidelis для горизонтальных и вертикальных коммуникаций инстансов EC2. Мы тесно сотрудничали с Amazon при тестировании интеграции и получили полное подтверждение того, что датчики Fidelis Network получают трафик EC2. Мы предоставляем своим клиентам решение, которое расширяет возможности визуального контроля и мониторинга безопасности для облачных приложений, рабочих нагрузок и баз данных».

Тим Родди, вице-президент по управлению продуктами, Fidelis Cybersecurity

FID_Logo_RGB_Color_Positive_500
FEYE_RGB_two_color_for_light_bg
«FireEye Network Security and Forensics объединяет расширенную защиту от угроз и средства обнаружения вторжений с самым быстрым и надежным в отрасли решением для захвата и извлечения сетевых данных. В сочетании с централизованными средствами анализа и визуализации решение предоставляет организациям комплексный набор функций обнаружения и визуального контроля. При использовании зеркалирования трафика Amazon VPC клиенты FireEye всегда одинаково хорошо информированы о происходящем в сети, независимо от того, в какой среде размещены их ресурсы — локальной, облачной или гибридной».

Билл Кантрелл, вице-президент по управлению продуктами для обеспечения безопасности сети, FireEye

«Мы впечатлены возможностями зеркалирования трафика Amazon VPC. Наши клиенты, которые работают с Flowmon Collector в облаке AWS, теперь могут анализировать свои рабочие нагрузки Virtual Public Cloud в прозрачной среде. Для этого достаточно нескольких щелчков мышью. Решение позволяет устранять проблемы с производительностью, а также выявлять аномалии и угрозы так же эффективно, как и в локальной среде».

Павел Минарик, технический директор, Flowmon Networks

Flowmon_bez_claimu
600x400_Gigamon
«Визуальный контроль на уровне пакетов — это самый эффективный подход к обеспечению безопасности сети и анализу производительности. Нас впечатляют возможности зеркалирования трафика Amazon VPC. Наше объединенное решение предоставляет организациям полный визуальный контроль трафика и позволяет им максимально использовать свой стек средств мониторинга и обеспечения безопасности как в AWS, так и гибридной среде. Анализ трафика между распределенными цифровыми приложениями и в их пределах — залог успеха современных решений».

Бассам Хан, вице-президент по продукту и техническому маркетингу, Gigamon

«Новая возможность зеркалирования трафика Amazon VPC предоставляет платформе IronDefense собственный доступ к критически важным данным виртуальных сетей. Это позволяет без труда отслеживать сетевые аномалии в облаке AWS и корпоративных сетях для обнаружения угроз повышенной сложности. Наша уникальная возможность коллективной зашиты IronDome обеспечивает мониторинг гибридных сред и автоматическое предоставление коллегам в отрасли доступа к аналитическим сведениям об угрозах IronDefense в облачных и локальных средах. Это расширяет наши возможности по обеспечению безопасности компаний, отраслей и государств в любом масштабе»

Д‑р Майкл Эрлих, технический директор IronNet

New IronNet Primary Logo_web
Jask Master_Black_Horizontal_Transparent
«Для современных SOC необходим визуальный контроль трафика локальных и облачных нагрузок. Специалисту по анализу безопасности нужно просматривать сетевые данные по всей модели OSI, чтобы составить четкое представление о возможных последствиях угрозы или предпринятой атаки. JASK ASOC включает сеть, журнал и датчики Windows, а также поддерживает передачу данных из облака в облако. Зеркалирование трафика Amazon VPC стало еще одним подтверждением лидерства AWS в области инноваций общедоступного облака. Решение обеспечивает визуальный контроль трафика в облаке, что делает его прямую поддержку в JASK ASOC такой важной».

Роб Фрай, главный технический директор JASK

«Компания Kentik как партнер AWS может использовать множество источников данных, предоставляемых Amazon, обогащать и коррелировать данные трафика с помощью журналов потоков Amazon VPC, а также создавать контекст с использованием тегов AWS и сопоставлений службы Amazon EKS Kubernetes. Это позволяет нам предоставлять своим клиентам визуальный контроль производительности и использования инфраструктуры AWS в режиме реального времени. Теперь, когда появилась функция зеркалирования трафика Amazon VPC, мощная платформа сетевой аналитики Kentik обеспечивает еще больше возможностей для предприятий и поставщиков сервисов для комплексного анализа трафика и быстрого получения полезных практических сведений о проблемах с производительностью, расходами и безопасностью».

Джона Ковалл, генеральный директор Kentik

kentik-black-small
NETSCOUT GCP Logo png
«Инновационная интеллектуальная технология для обработки данных от NETSCOUT позволяет ИТ-специалистам и специалистам SecOps обеспечивать производительность приложений и повышать безопасность предприятия в локальных центрах обработки данных и облачной инфраструктуре AWS. Зеркалирование трафика Amazon VPC обеспечивает безагентный доступ к потоку данных и позволяет NETSCOUT эффективно обеспечивать полные сведения о приложениях и состоянии систем безопасности в гибридных облачных средах AWS. Главные возможности NETSCOUT в AWS включают надежное раннее предупреждение и быстрое устранение неполадок как в вопросах производительности сети и приложений, так и в вопросах управления угрозами безопасности».

Майкл Шабадос, главный операционный директор NETSCOUT Systems Inc.

«Nubeva Prisms дополняет зеркалирование трафика Amazon VPC для быстрой и безопасной расшифровки потоков клиентских и серверных пакетов в AWS. Если функция зеркалирования трафика Amazon VPC копирует сетевой трафик из рабочей нагрузки и отправляет его в точку назначения, то решение Nubeva Prisms для расшифровки протокола TLS извлекает и сохраняет ключи для доставки дешифрованного трафика в реальном времени в точку назначения функции зеркалирования трафика Amazon VPC. Совместное использование зеркалирования трафика Amazon VPC и решения Nubeva Prisms для расшифровки протокола TLS обеспечивают полную прозрачность и безопасность TLS в горизонтальных и вертикальных коммуникациях общедоступного облака AWS».

Рэнди Чоу, генеральный директор Nubeva

nubeva_logo_wide_1600_blue
PWP_Security_Palo Alto Networks
«Предприятиям требуется постоянная надежная защита в облаке, которая не будет уменьшать возможности по развертыванию. Наряду со встроенными возможностями предотвращения угроз интеграция виртуализированного брандмауэра серии VM с новой функцией зеркалирования трафика Amazon VPC дает организациям возможность развернуть брандмауэр вне полосы и получать максимум сведений о приложениях и организовать расширенное обнаружение угроз в облаке AWS».

Мукеш Гупта, вице-президент по управлению продуктами в Palo Alto Networks

«Облако SteelCentral AppResponse от Riverbed использует функцию зеркалирования трафика Amazon Virtual Private Cloud (Amazon VPC) для получения полных сведений о сетях и приложениях в облаке AWS. Riverbed дает возможность отделу ИТ-операций быстро выявлять снижение производительности и повышение задержек в облачных и гибридных сетях, автоматически определять свыше 2000 приложений для детального анализа приложений, а также быстрее и проще выявлять и устранять проблемы с помощью агрегированного трафика. Будучи лидером в области решений для цифровых технологий и управления их производительностью и шестикратным лидером магического квадранта Gartner по управлению и диагностированию производительности сетей, мы гордимся тем, что вместе с AWS можем предложить на рынке такое жизненно важное решение».

Майк Сарджент, старший вице-президент, генеральный директор SteelCentral, Riverbed

RVBD-Q118-OrangeLogo-RGB
vectra-logo-w-security-that-thinks-tagline-pantone
«Поскольку предприятия переносят свои ценные данные и сервисы в облако, снижение кибер-рисков, которые могут нанести ущерб бизнесу, становится критически важной задачей. Функция зеркалирования трафика Amazon VPC позволяет платформе Vectra Cognito предоставлять предприятиям необходимую информацию об атаках на их облачную инфраструктуру, обеспечивать надежный поиск угроз и быстрое реагирование на инциденты».

Хитеш Шет, президент и генеральный директор Vectra

Начать работу с Amazon VPC

Ресурсы AWS автоматически выделяются в созданном от имени клиента и готовом к использованию облаке VPC по умолчанию. Его можно настраивать, добавляя или удаляя подсети, присоединяя сетевые шлюзы, внося изменения в таблицу маршрутизации по умолчанию и в сетевые списки контроля доступа.

Дополнительные облака VPC можно создавать на странице Amazon VPC в Консоли управления AWS, нажав кнопку «Start VPC Wizard» (Запустить мастер создания VPC). На выбор предлагаются четыре основных топологии сети. Выберите из них наиболее подходящую топологию и нажмите кнопку «Create VPC» (Создать VPC). После создания облака VPC можно запускать в нем инстансы Amazon EC2.

Публикации в блогах и статьи

Debugging tool for network connectivity from Amazon VPC
Бхавин Десай
 
19 января 2019 г.
VPC sharing: A new approach to multiple accounts and VPC management
Евгений Ваганов  
 
11 января 2019 г.
Готовы приступить к разработке?
Начать работу с Amazon VPC
Есть вопросы?
Свяжитесь с нами