Возможности Amazon VPC
Amazon Virtual Private Cloud предоставляет возможности для улучшения и контроля безопасности виртуального частного облака virtual private cloud (VPC):
- Reachability Analyzer. Reachability Analyzer – это инструмент для анализа статических конфигураций, позволяющий анализировать и выполнять отладку доступности сети при подключении ресурсов в VPC между собой. Определите исходный и целевой ресурсы в VPC, после чего Reachability Analyzer создаст последовательные детальные данные о виртуальном маршруте между ними, если они доступны, и определит блокирующие элементы, если доступ отсутствует. Узнайте, как начать использование этой возможности, здесь.
- Журналы потоков VPC. Мониторинг журналов потоков VPC, доставляемых в Amazon S3 или Amazon CloudWatch, обеспечивает операционный контроль сетевых зависимостей и моделей трафика, выявление аномалий и предотвращение утечки данных или устранение неполадок сетевых подключений и проблем конфигурации. Обогащенные метаданные в журналах потоков дают дополнительную аналитическую информацию об инициаторе TCP-подключений, фактическом источнике на уровне пакетов и точке назначения трафика, проходящего по средним уровням, таким как шлюз NAT. Можно также архивировать журналы потоков. Это пригодится для выполнения определенных нормативных требований. Узнайте, как начать использование этой возможности, здесь.
- Зеркалирование трафика VPC. Зеркалирование трафика VPC дает возможность копировать сетевой трафик из эластичного сетевого интерфейса инстансов Amazon EC2 с последующей отправкой трафика на внеполосные устройства обеспечения безопасности и мониторинга для углубленной проверки пакетов. Благодаря зеркалированию трафика VPC можно выявлять аномалии сети и безопасности, получать операционную аналитическую информацию, внедрять средства выполнения нормативных требований и контроля безопасности, а также устранять проблемы. Зеркалирование трафика VPC – это возможность, которая дает доступ к сетевым пакетам, проходящим через VPC. Узнайте, как начать использование этой возможности, здесь.
- Входящая маршрутизация. Позволяет направлять входящий и исходящий трафик, проходящий через шлюз Интернета (IGW) или шлюз виртуальной частной сети (VGW), в эластичный сетевой интерфейс конкретного инстанса EC2. Благодаря этой возможности Virtual Private Cloud можно настроить таким образом, чтобы весь трафик направлялся в IGW, VGW или инстанс EC2, прежде чем он попадет в рабочие нагрузки. Узнайте больше об этой возможности здесь.
- Группы безопасности. Группы безопасности действуют в качестве брандмауэра для связанных инстансов Amazon EC2 и контролируют входящий и исходящий трафик на уровне инстанса. При запуске инстанса можно связать его с одной или несколькими созданными группами безопасности. Каждый инстанс в VPC может принадлежать к отдельному набору групп безопасности. Если при запуске инстанса не указать группу безопасности, он автоматически связывается с группой по умолчанию для этого VPC. Дополнительные сведения см. в разделе о группах безопасности для VPC.
- Список контроля доступа к сети. Список контроля доступа к сети (ACL) – это необязательный уровень безопасности VPC, который действует как брандмауэр, контролирующий входящий и исходящий трафик одной или нескольких подсетей. Для списков контроля доступа можно настроить правила, сходные с правилами групп безопасности. Это создаст дополнительный уровень безопасности для VPC. Нажмите здесь, чтобы узнать о конкретных различиях между группами безопасности и списками контроля доступа к сети.
Использование других ресурсов AWS с Amazon VPC
Для Virtual Private Cloud (VPC) можно использовать множество различных ресурсов:
Подключайте Amazon VPC, аккаунты AWS и локальные сети к единому шлюзу.
Устанавливайте частное подключение между облаками VPC и сервисами, размещенными на AWS или в локальной среде, не открывая доступ к данным из Интернета.
Развертывайте средства сетевой безопасности для всех облаков Amazon VPC с помощью нескольких щелчков мыши.
Расширяйте локальные сети с помощью облака и получайте безопасный доступ к ним откуда угодно.
Разрешайте рабочим нагрузкам частной подсети VPC получать доступ к Интернету, не допуская при этом инициации соединений с этими инстансами со стороны Интернета
Надлежащее использование и ограничения
Использование данного сервиса регламентируется пользовательским соглашением Amazon Web Services.
Подробнее о ценах на Amazon VPC