Amazon Virtual Private Cloud (VPC) – это сервис, который дает возможность запускать ресурсы AWS в определяемой пользователем логически изолированной виртуальной сети. Это позволяет полностью контролировать среду виртуальной сети, в том числе выбирать собственный диапазон IP‑адресов, создавать подсети, а также настраивать таблицы маршрутизации и сетевые шлюзы. Для большинства ресурсов в VPC можно использовать и IPv4, и IPv6, и таким образом получить безопасный и удобный доступ к ресурсам и приложениям.

Как один из основополагающих сервисов AWS, Amazon VPC упрощает индивидуальную настройку параметров сети VPC. Можно создать общедоступную подсеть для своих веб-серверов с доступом к Интернету. Можно также поместить свои серверные системы, такие как базы данных или серверы приложений, в частную подсеть без доступа к Интернету. Amazon VPC дает возможность использовать многоуровневую систему безопасности, которая состоит из групп безопасности и сетевых списков контроля доступа. Такая система позволяет контролировать доступ к инстансам Amazon Elastic Compute Cloud (Amazon EC2) в каждой подсети.

Возможности Amazon VPC

Повысить уровень безопасности Amazon Virtual Private Cloud (Amazon VPC) и держать его под контролем можно благодаря следующим возможностям.

Журналы потоков

Мониторинг журналов потоков VPC, доставляемых в Amazon Simple Storage Service (Amazon S3) или Amazon CloudWatch, обеспечивает операционный контроль сетевых зависимостей и моделей трафика, выявление аномалий и предотвращение утечки данных и устранение неполадок сетевых подключений и проблем конфигурации. Обогащенные метаданные в журналах потоков помогают узнать больше об инициаторе TCP-подключений, источнике на уровне пакетов и точке назначения трафика, проходящего по средним уровням, таким как шлюз NAT. Можно также архивировать журналы потоков. Это пригодится для выполнения определенных нормативных требований. Узнайте, как начать использование этой возможности, здесь.

IP Address Manager (IPAM)

С помощью IPAM легче планировать, отслеживать и проверять IP-адреса для рабочих нагрузок AWS. IPAM автоматизирует IP-адресацию для Amazon VPC, позволяя больше не использовать собственные приложения для планирования или приложения на базе электронных таблиц. Кроме того, сервис комплексно демонстрирует использование IP-адресов в нескольких аккаунтах и VPC, за счет чего повышается возможность отслеживания сети.

IP-адресация

С помощью IP-адресов ресурсы VPC взаимодействуют друг с другом и с ресурсами, расположенными в Интернете. Amazon VPC поддерживает как протокол адресации IPv4, так и IPv6. В VPC можно создать подсети, предназначенные только для IPv4, только для IPv6 или с «двойным стеком», а затем запускать инстансы Amazon EC2 в пределах этих подсетей. Amazon также предлагает различные способы назначения публичных IP-адресов для инстансов. Вы можете использовать предоставленные Amazon публичные IPv4-адреса, эластичные IPv4-адреса или IP-адреса из предлагаемых Amazon диапазонов CIDR IPv6. Кроме того, возможно добавить в Amazon VPC и назначить инстансам собственные адреса IPv4 или IPv6. Подробнее о работе с IP-адресами в VPC см. здесь.

Входящая маршрутизация

Эта возможность позволяет направлять входящий и исходящий трафик, проходящий через шлюз Интернета или шлюз виртуальной частной сети, в эластичный сетевой интерфейс конкретного инстанса Amazon EC2. Virtual private cloud можно настроить таким образом, чтобы весь трафик направлялся в шлюз или инстанс Amazon EC2, прежде чем попадет в рабочие нагрузки. Подробнее об этой возможности здесь.

Network Access Analyzer

С помощью Network Access Analyzer можно проверить, отвечает ли сеть в AWS требованиям сетевой безопасности и другим нормативным требованиям. Network Access Analyzer позволяет указать необходимые требования к сетевой безопасности и нормативные требования, а также способен выявить непреднамеренный доступ к сети, которая им не соответствует. Network Access Analyzer используется для анализа сетевого доступа к ресурсам, который помогает определить, какие улучшения стоит внести в облачную систему безопасности, и продемонстрировать соответствие требованиям.

Список контроля доступа к сети

Список контроля доступа к сети (ACL сети) – это необязательный уровень безопасности VPC, который действует как брандмауэр, контролирующий входящий и исходящий трафик одной или нескольких подсетей. ACL сети можно задать с помощью правил, которые схожи с правилами групп безопасности. Прочитать о различиях между группами безопасности и списками контроля доступа к сети здесь.

Reachability Analyzer

Этот инструмент для анализа статических конфигураций позволяет анализировать и выполнять отладку доступности сети при подключении ресурсов в VPC между собой. Определите исходный и целевой ресурсы, после чего Reachability Analyzer создаст последовательные детальные данные о виртуальном маршруте между ними, если они доступны, и определит блокирующие элементы, если доступ отсутствует. Узнайте, как начать использование этой возможности, здесь.

Группы безопасности

Группы безопасности действуют в качестве брандмауэра для связанных инстансов Amazon EC2 и контролируют входящий и исходящий трафик на уровне инстанса. При запуске инстанса можно связать его с одной или несколькими группами безопасности. Если группа не выбрана, инстанс автоматически свяжется с той группой, которую VPC предлагает по умолчанию. Каждый инстанс в VPC может принадлежать к отдельному набору групп. Подробнее о группах безопасности здесь.

Зеркалирование трафика

Зеркалирование трафика дает возможность копировать сетевой трафик из эластичного сетевого интерфейса инстансов Amazon EC2 и отправлять его на внеполосные устройства обеспечения безопасности и мониторинга для углубленной проверки пакетов. Таким образом можно выявлять аномалии сети и безопасности, получать операционную аналитическую информацию, внедрять средства выполнения нормативных требований и контроля безопасности, а также устранять проблемы. Зеркалирование трафика дает доступ к сетевым пакетам, проходящим через VPC. Узнайте, как начать использование этой возможности, здесь.

Использование других ресурсов AWS с Amazon VPC

Для Virtual Private Cloud (VPC) можно использовать множество различных ресурсов:

Подключайте Amazon VPC, аккаунты AWS и локальные сети к единому шлюзу.
Устанавливайте частное подключение между облаками VPC и сервисами, размещенными на AWS или в локальной среде, не открывая доступ к данным из Интернета.
Развертывайте средства сетевой безопасности для всех облаков Amazon VPC с помощью нескольких щелчков мыши.
Расширяйте локальные сети с помощью облака и получайте безопасный доступ к ним откуда угодно.
Разрешайте рабочим нагрузкам частной подсети VPC получать доступ к Интернету, не допуская при этом инициации соединений с этими инстансами со стороны Интернета

Надлежащее использование и ограничения

Использование данного сервиса регламентируется пользовательским соглашением Amazon Web Services.

Подробнее о ценах на Amazon VPC

Перейти на страницу цен
Готовы начать?
Регистрация
Есть вопросы?
Свяжитесь с нами