Amazon Virtual Private Cloud

Cung cấp phần bị cô lập của đám mây Amazon một cách hợp lý, tại đó bạn có thể khởi chạy các tài nguyên AWS trong một mạng ảo mà bạn xác định

Amazon Virtual Private Cloud (Amazon VPC) cho phép bạn cung cấp một phần AWS Cloud bị cô lập một cách hợp lý, nơi bạn có thể khởi chạy các tài nguyên AWS trong một mạng ảo do bạn xác định. Bạn có toàn quyền kiểm soát môi trường mạng ảo của mình, bao gồm lựa chọn dải địa chỉ IP, tạo các mạng con, cấu hình các bảng định tuyến và cổng kết nối mạng. Bạn có thể sử dụng cả IPv4 và IPv6 trên VPC để truy cập tài nguyên và ứng dụng một cách bảo mật và dễ dàng.

Bạn có thể dễ dàng tùy chỉnh cấu hình mạng của Amazon VPC. Ví dụ: bạn có thể tạo một mạng con công khai cho các máy chủ web có quyền truy cập internet. Bạn cũng có thể đặt các hệ thống backend, như máy chủ ứng dụng hoặc cơ sở dữ liệu, trong mạng con riêng tư không có quyền truy cập internet. Bạn có thể sử dụng nhiều lớp bảo mật, bao gồm các nhóm bảo mật và danh sách kiểm soát truy cập mạng, để giúp kiểm soát quyền truy cập vào các phiên bản Amazon EC2 trong mỗi mạng con.

Kiến thức cơ bản về VPC và Tùy chọn kết nối (50:50)

Lợi ích

Bảo mật

Amazon VPC cung cấp các tính năng bảo mật tiên tiến, chẳng hạn như các nhóm bảo mật và danh sách kiểm soát truy cập mạng, để cho phép lọc nội dung đến và đi ở cấp độ phiên bản và mạng con. Ngoài ra, bạn có thể lưu trữ dữ liệu trong Amazon S3 và hạn chế quyền truy cập để chỉ có thể truy cập những dữ liệu này từ các phiên bản bên trong VPC. Để bảo mật hơn nữa, bạn có thể tạo phiên bản chuyên dụng được cách ly về mặt vật lý với các tài khoản AWS khác, ở cấp độ phần cứng.

Đơn giản

Tạo VPC nhanh chóng và dễ dàng sử dụng Bảng điều khiển quản lý AWS. Chọn từ các thiết lập mạng phổ biến và tìm kết quả phù hợp nhất với nhu cầu của bạn. Mạng con, dải IP, bảng định tuyến và nhóm bảo mật được tạo tự động. Bạn cần ít thời gian hơn để thiết lập và quản lý, nên có thể tập trung vào việc xây dựng các ứng dụng chạy trong VPC.

Có thể tùy chỉnh

Kiểm soát môi trường mạng ảo của bạn, bao gồm lựa chọn dải địa chỉ IP, tạo các mạng con, cấu hình các bảng định tuyến và cổng kết nối mạng. Tùy chỉnh cấu hình mạng, chẳng hạn như tạo một mạng con công khai cho máy chủ web có quyền truy cập vào Internet và đưa các hệ thống backend như máy chủ ứng dụng hoặc cơ sở dữ liệu vào mạng con riêng tư không có quyền truy cập Internet.

Trường hợp sử dụng

Lưu trữ trang web đơn giản công khai

Lưu trữ ứng dụng web cơ bản, như blog hoặc một trang web đơn giản trong VPC, đồng thời nhận thêm các lớp riêng tư và bảo mật do Amazon VPC cung cấp. Bạn có thể giúp bảo vệ trang web bằng cách tạo các quy tắc nhóm bảo mật cho phép máy chủ web phản hồi các yêu cầu HTTP và SSL đến từ Internet đồng thời ngăn máy chủ web khởi tạo các kết nối đi đến Internet. Bạn có thể tạo một VPC hỗ trợ trường hợp sử dụng này bằng cách chọn "VPC với duy nhất một mạng con công khai" từ trình hướng dẫn cho bảng điều khiển Amazon VPC.

Lưu trữ các ứng dụng web nhiều tầng

Lưu trữ các ứng dụng web nhiều tầng và nghiêm túc thực thi các hạn chế truy cập cũng như bảo mật giữa các máy chủ web, máy chủ ứng dụng và cơ sở dữ liệu của bạn. Khởi chạy các máy chủ web trong một mạng con có thể truy cập công khai trong khi chạy các máy chủ ứng dụng và cơ sở dữ liệu của bạn trong các mạng con riêng tư, như vậy, các máy chủ ứng dụng và cơ sở dữ liệu sẽ không thể truy cập được trực tiếp từ internet. Bạn kiểm soát truy cập giữa các máy chủ và mạng con bằng cách sử dụng tính năng lọc gói đến và đi do các danh sách kiểm soát truy cập mạng và các nhóm bảo mật cung cấp. Để tạo VPC hỗ trợ trường hợp sử dụng này, bạn có thể chọn "VPC có mạng con công khai và riêng tư" trong trình hướng dẫn cho bảng điều khiển Amazon VPC.

Phục hồi sau thảm họa

Bằng cách sử dụng Amazon VPC để khôi phục sau thảm họa, chỉ với một mức chi phí nhỏ, bạn có thể nhận được tất cả các lợi ích của một trang khôi phục sau thảm họa. Bạn có thể định kỳ sao lưu dữ liệu quan trọng từ trung tâm dữ liệu của mình vào một số phiên bản Amazon EC2 bằng ổ đĩa Amazon Elastic Block Store (EBS) hoặc nhập các hình ảnh máy ảo của bạn vào Amazon EC2. Để đảm bảo hoạt động kinh doanh liên tục, bạn có thể nhanh chóng khởi chạy dung lượng điện toán thay thế trong AWS. Khi thảm họa kết thúc, bạn có thể gửi dữ liệu quan trọng trở lại trung tâm dữ liệu và kết thúc các phiên bản Amazon EC2 mà bạn không còn cần nữa.

Mở rộng mạng công ty của bạn trên đám mây

Di chuyển các ứng dụng của công ty lên đám mây, khởi chạy các máy chủ web bổ sung hoặc thêm dung lượng điện toán cho mạng bằng cách kết nối VPC với mạng của công ty bạn. Vì bạn có thể lưu trữ VPC phía sau tường lửa của công ty nên bạn có thể di chuyển liền mạch tài nguyên CNTT của mình vào đám mây mà không làm thay đổi cách người dùng truy cập vào các ứng dụng này. Bạn có thể chọn "VPC chỉ có mạng con riêng tư và Truy cập VPN phần cứng" từ trình hướng dẫn dành cho bảng điều khiển Amazon VPC để tạo VPC hỗ trợ trường hợp sử dụng này.

Kết nối an toàn các ứng dụng đám mây với trung tâm dữ liệu của bạn

Kết nối VPN IPsec giữa Amazon VPC và mạng công ty bạn sẽ mã hóa tất cả các giao tiếp giữa máy chủ ứng dụng trong đám mây và cơ sở dữ liệu trong trung tâm dữ liệu của bạn. Các máy chủ web và các máy chủ ứng dụng trong VPC của bạn có thể sử dụng tính co giãn của Amazon EC2 và các tính năng Auto Scaling để phát triển và thu hẹp lại khi cần. Bạn có thể tạo một VPC để hỗ trợ trường hợp sử dụng này bằng cách chọn "VPC có mạng con công khai và riêng tư cùng Truy cập VPN phần cứng" trong trình hướng dẫn cho bảng điều khiển Amazon VPC.

Kiểm tra lưu lượng nội tuyến và ngoài dải tần

Tính năng phản chiếu lưu lượng của Amazon VPC nhân đôi lưu lượng truy cập, cùng với tải dữ liệu đầy đủ, từ các giao diện mạng linh hoạt (ENI) của các phiên bản EC2 và đưa nó đến các công cụ giám sát ngoài dải tần và phân tích bảo mật.

Tính năng định tuyến ngõ vào của Amazon VPC cho phép bạn dễ dàng triển khai các thiết bị mạng và bảo mật, bao gồm các dịch vụ của bên thứ ba, nội tuyến đến lưu lượng Amazon VPC đến và đi. Kiểm tra lưu lượng nội tuyến giúp bạn sàng lọc và bảo mật lưu lượng để bảo vệ khối lượng công việc của bạn khỏi các tác nhân độc hại.

Đối tác

Paloalto Logo
"Việc tích hợp Tường lửa ảo thế hệ mới của VM-Series với tính năng Định tuyến ngõ vào mới của Amazon VPC giúp khách hàng dễ dàng hơn trong việc đảm bảo tất cả lưu lượng đến VPC của họ đều được lọc thông qua các dịch vụ phòng ngừa hiểm họa của chúng tôi. Bằng cách đặt tường lửa ảo VM-Series làm thiết bị bump-in-the-wire trong môi trường đất nâu, khách hàng có thể bảo vệ thông suốt lưu lượng đến từ internet và trung tâm dữ liệu của họ."

- Mukesh Gupta, Phó Chủ tịch, Quản lý sản phẩm, VM-Series

Fortinet_Logo
"Định tuyến ngõ vào của Amazon VPC cho phép Fortinet gia tăng sự tự tin cho khách hàng bằng cách cho phép bảo mật mạng Fortinet trên bất kỳ lưu lượng nào vào VPC quan trọng trong kinh doanh quan trọng của khách hàng. Định tuyến ngõ vào VPC cũng cho phép tạo ra các giải pháp linh hoạt hơn, giúp bảo đảm các khối lượng công việc khác nhau với các Sản phẩm Fortinet riêng biệt trong một VPC duy nhất. Quan trọng nhất, một kiến trúc an toàn và linh hoạt hơn sẽ giúp khách hàng giảm thiểu rủi ro liên quan đến cấu hình sai cũng như mở rộng hơn nữa việc triển khai trên đám mây."

- Lior Cohen, Giám đốc cấp cao phụ trách các sản phẩm và giải pháp bảo mật đám mây, Fortinet

CP_logo
"Khách hàng doanh nghiệp của chúng tôi thường sử dụng AWS Transit Gateway để triển khai khả năng bảo vệ khỏi các mối đe dọa tiên tiến của CloudGuard. Tuy vậy, dịch vụ này không phù hợp với các doanh nghiệp vừa và nhỏ có số lượng VPC hạn chế. Cải tiến về định tuyến ngõ vào VPC mang đến cho khách hàng các triển khai nhỏ hơn có cách thức chuyển hướng dòng lưu lượng vào VPC dễ dàng, hiệu quả và tự nhiên hơn để tăng cường bảo mật nâng cao."

– Zohar Alon, Giám đốc phụ trách sản phẩm đám mây, Check Point Software

Barracuda_Logo
"Định tuyến ngõ vào VPC cho phép khách hàng của chúng tôi sàng lọc tất cả lưu lượng bên ngoài thông qua Tường lửa CloudGen của Barracuda trước khi đến đích. Giờ đây, sử dụng định tuyến xâm nhập VPC, khách hàng có thể áp dụng các chính sách kiểm tra gói sâu tùy chỉnh tùy theo đích của họ. Định tuyến ngõ vào VPC dành cho các VPC của Amazon, giúp khách hàng của chúng tôi dễ dàng triển khai các giải pháp bảo mật đám mây nội tuyến của Barracuda"

- Klaus Gheri, Giám đốc điều hành/Phó Chủ tịch phụ trách An ninh mạng, Barracuda Networks

Sophos_Logo
"Việc tổ chức bảo mật cơ sở hạ tầng đám mây - bao gồm lưu lượng bên trong đó - là điều cực kỳ quan trọng vì tội phạm mạng đang ngày càng gia tăng hoạt động nhắm mục tiêu và khởi động các cuộc tấn công nâng cao chống lại các môi trường đám mây này. AWS và Sophos đang giải quyết vấn đề bảo mật trên đám mây. Bằng việc mở rộng hỗ trợ cho định tuyến ngõ vào, Sophos UTM cung cấp thêm một lớp bảo mật để đảm bảo lưu lượng vào và ra khỏi VPC cũng như các thiết bị ảo khác được bảo vệ."

- Andy Miller, Giám đốc cấp cao phụ trách Đám mây công cộng toàn cầu, Sophos

Aviatrix Logo
"Với việc áp dụng cải tiến Định tuyến ngõ vào Amazon VPC mới, khách hàng giờ đây có thể định tuyến lưu lượng mạng VPC thông qua các dịch vụ nội tuyến nâng cao. Phần mềm kết nối mạng dành cho đám mây Aviatrix bao trọn và mở rộng các dịch vụ AWS nguyên bản - trong trường hợp này, Định tuyến ngõ vào Amazon VPC mới kết hợp với các dịch vụ AWS GuardDuty để cung cấp các chính sách thực thi đi vào và đi ra qua các cổng Aviatrix."

- Sherry Wei, Nhà sáng lập kiêm Giám đốc sản phẩm, Aviatrix

citrix-logo-black
"Ngày nay người dùng không quan tâm đến nơi lưu trữ các ứng dụng mà họ cần để thực hiện công việc. Mà cái họ muốn là thực hiện một cách nhất quán và tin cậy để có thể hoàn thành công việc. Thông qua việc tích hợp giữa Citrix® ADC và định tuyến ngõ vào Amazon VPC từ AWS, chúng tôi có thể mang đến cho công chúng một giải pháp cấp doanh nghiệp đã được chứng minh trong một mô hình phân phối thuận tiện, đồng thời tạo ra trải nghiệm hiệu suất cao để giúp mọi người thực hiện công việc tốt nhất."

- Mihir Maniar, Phó chủ tịch phụ trách Quản lý sản phẩm, Kết nối mạng, Citrix

Trend Micro Logo
"Trend Micro cung cấp bảo mật đám mây lai nhiều lớp cho hàng ngàn khách hàng trên AWS. Định tuyến ngõ vào Amazon VPC cho phép áp dụng rộng rãi và tăng cường tính linh hoạt trong triển khai cho các giải pháp bảo mật mạng đám mây của chúng tôi, nhờ đó, khách hàng của chúng tôi sẽ bảo vệ được AWS VPC của họ nhanh chóng trên quy mô lớn, mà không làm gián đoạn các ứng dụng kinh doanh của họ."

- Steve Quane, Phó chủ tịch điều hành, Bảo vệ mạng và Bảo mật đám mây lai, Trend Micro

Fire Eye Logo.1e32bd3851f0c10b78513de3684c90b37469f0ab
"Khách hàng An ninh mạng của FireEye đã được hưởng lợi từ khả năng áp dụng khả năng ngăn ngừa hiểm họa và phát hiện vi phạm cho môi trường AWS của họ. Việc công bố tính năng định tuyến ngõ vào Amazon VPC giúp việc triển khai giải pháp bảo mật mạng của FireEye trong AWS trở nên dễ dàng hơn nữa. Tính năng mới này sẽ cho phép khách hàng chuyển hướng lưu lượng Bắc-Nam vào và ra khỏi VPC thông qua cổng internet và cổng riêng ảo đến các thiết bị của bên thứ ba, như vậy, cổng NAT trở thành công cần thiết. Điều này cho phép khách hàng điều hướng lưu lượng đến các thiết bị cụ thể cho hoạt động quét chuyên dụng. Khách hàng của FireEye được hưởng lợi sự thuận tiện trong triển khai và tích hợp chặt chẽ hơn với các trung tâm dữ liệu đám mây tại chỗ, riêng tư và công khai của họ."

- Ramesh Gupta, Tổng Giám đốc phụ trách Sản phẩm an ninh mạng, FireEye

Versa Logo
"Nền tảng quản lý và điều phối SD-WAN của Versa cho phép tự động hóa quy trình toàn diện bao gồm việc khởi tạo và hỗ trợ thiết bị biên WAN trên AWS. Giờ đây, khách hàng còn có thể sử dụng định tuyến ngõ vào Amazon VPC để chuyển hướng lưu lượng vào và ra khỏi VPC, thông qua cổng internet và cổng riêng ảo, đến các thiết bị bảo mật NGFW tại chỗ của Versa."

- Giám đốc tiếp thị, Versa Networks

ShieldX_Logo
"Nền tảng bảo mật ShieldX Elastic (ESP) được xây dựng để bảo mật các trung tâm dữ liệu đa đám mây hiện đại. ESP là một giải pháp không phụ thuộc vào đám mây và không sử dụng tác nhân, được thiết kế để cung cấp các biện pháp kiểm soát bảo mật toàn diện và nhất quán nhằm bảo vệ các trung tâm dữ liệu động, cơ sở hạ tầng đám mây, ứng dụng và dữ liệu, bất kể chúng đang ở đâu và đi đến đâu. Là đối tác của AWS, ShieldX tích hợp với các chức năng mạng của AWS, như phản chiếu lưu lượng VPC và định tuyến ngõ vào VPC, để hỗ trợ phát hiện tài sản liên tục, tạo chính sách bảo mật mạng tự động và kiểm tra lớp 7. Các tính năng này hợp lại và cung cấp cho doanh nghiệp giải pháp toàn diện để giám sát và ngăn chặn lưu lượng mạng đi qua cả Bắc/Nam và Đông/Tây trong đám mây công cộng AWS"

- Ken Levine, CEO, ShieldX

Vectra Logo
"Định tuyến ngõ vào Amazon VPC cho phép khách hàng của chúng tôi sàng lọc tất cả lưu lượng bên ngoài trước khi lưu lượng đến được mạng con. Tính năng này dành cho Amazon VPC và giúp khách hàng của chúng tôi dễ triển khai Phát hiện và ứng phó sự cố mạng cho đám mây hơn."

- Kevin Sheu, Phó Chủ tịch phụ trách Tiếp thị sản phẩm tại Vectra

IBM Security Logo
"IBM Security giúp khách hàng tối đa hóa hiệu quả của các biện pháp kiểm soát bảo mật dành cho AWS của họ. Chúng tôi giúp khách hàng thiết kế kiến trúc bảo mật, lựa chọn và triển khai các biện pháp kiểm soát của AWS nhằm đạt được mức độ bảo mật cao nhất. Định tuyến ngõ vào Amazon VPC mang đến cho chúng tôi sự linh hoạt trong việc triển khai các giải pháp bảo mật ở biên của VPC, tạo khả năng sàng lọc và chặn lưu lượng Bắc-Nam trước khi lưu lượng đó đi đến khối lượng công việc trong VPC."

- Mike Sanders, Giám đốc chương trình, cung cấp Chiến lược cho Cloud Security, IBM Security Services

Lastline Logo
“Với nền tảng phát hiện và ứng phó sự cố mạng dành cho đám mây, Lastline đang hợp tác chặt chẽ với AWS để cung cấp các cải tiến bảo mật cho dữ liệu của khách hàng của chúng tôi trong AWS. Định tuyến ngõ vào Amazon VPC cho phép chúng tôi cung cấp cho khách hàng sự linh hoạt và khả năng hiển thị lưu lượng nội tuyến không đối thủ nào sánh được trên mạng AWS.”

– Tiến sĩ Christopher Kruegel, Nhà đồng sáng lập kiêm Giám đốc sản phẩm, Lastline

Netscout Logo black
"Cải tiến Định tuyến ngõ vào Amazon VPC được công bố gần đây, kết hợp với Phản chiếu lưu lượng của Amazon VPC, cho phép NETSCOUT giám sát hiệu quả lưu lượng nội bộ và liên VPC trong AWS đồng thời khai thác một cách hiệu quả để cung cấp Khả năng hiển thị không biên giới trên toàn bộ trung tâm dữ liệu tại chỗ, trong AWS và trên đám mây lai."

- Bruce Kelley, Jr., Phó Chủ tịch cấp cao, Giám đốc công nghệ, Nhà cung cấp dịch vụ, NETSCOUT

Valtix_Logo
“Valtix cách mạng hóa bảo mật mạng đám mây nội tuyến, bằng cách là: Trước hết, khám phá các ứng dụng, sau đó Triển khai bảo mật mạng và liên tục Bảo vệ các ứng dụng đó trên các Khu vực AWS. Định tuyến ngõ vào Amazon VPC cho phép các cụm tường lửa dành cho đám mây Valtix đi vào đường dẫn lưu lượng ứng dụng từ internet và liên mạng con trong các VPC, do đó đạt được khả năng hiển thị lưu lượng mạng đầy đủ cho các ứng dụng doanh nghiệp chạy trong AWS.”

- Vijay Chander, CTO, Valtix

128T Logo
“Các doanh nghiệp cần kết nối an toàn và tin cậy hơn với các Amazon VPC từ trung tâm dữ liệu của họ và Bộ định tuyến Session Smart™ của 128 Technology cung cấp cho khách hàng mức độ bảo mật và độ tin cậy cao vượt trội, đồng thời giảm đi sự phức tạp. Với việc bổ sung định tuyến ngõ vào VPC, khách hàng của chúng tôi sẽ có quyền kiểm soát nhiều hơn đối với lưu lượng vào các Amazon VPC của họ. 128 Technology hân hạnh là một trong các nhóm cộng tác hệ sinh thái được lựa chọn hỗ trợ dịch vụ này.

- Andy Ory, CEO, 128 Technology

Forcepoint
"Trong thế giới ngày nay với môi trường mà ở đó lực lượng lao động có tính di động cao và doanh nghiệp phân tán khắp toàn cầu, NGFW hỗ trợ đám mây của Forcepoint cung cấp quyền truy cập an toàn, không bị cản trở vào dữ liệu quan trọng và tài sản trí tuệ ở khắp mọi nơi trong khi giảm nguy cơ nổ ra các cuộc tấn công khai thác lỗ hổng zero-day và các mối đe dọa mới nổi khác trên một cụm CNTT lai của tổ chức. Việc bổ sung khả năng định tuyến ngõ vào Amazon VPC cho phép khách hàng của NGFW Forcepoint linh hoạt hơn trong phân khúc bảo mật mạng của họ cũng như tận dụng các tính năng bảo mật tối ưu, tương tự như cách chúng tôi sử dụng tính năng này trong Nền tảng bảo mật của Forcepoint để cung cấp các dịch vụ Dynamic Edge Protection."

- Nicolas Fischbach, Global CTO, Forcepoint

Bắt đầu với Amazon VPC

Bạn có thể tự động cung cấp tài nguyên AWS trong một VPC mặc định ở trạng thái sẵn sàng sử dụng. Cấu hình VPC này bằng cách thêm hoặc xóa các mạng con, gắn cổng mạng, thay đổi bảng định tuyến mặc định và sửa đổi các ACL mạng.

Tạo các VPC bổ sung từ trang Amazon VPC trên Bảng điều khiển quản lý AWS và chọn nút "Bắt đầu Trình hướng dẫn VPC". Bạn sẽ được giới thiệu về bốn cấu trúc liên kết mạng cơ bản. Chọn một cấu trúc gần nhất với cấu trúc liên kết mạng mà bạn muốn tạo và nhấp vào nút "Tạo VPC". Sau đó, bạn có thể tùy chỉnh cấu trúc liên kết thêm để phù hợp hơn với nhu cầu của bạn. Ngay sau đó, bạn có thể bắt đầu khởi chạy phiên bản Amazon EC2 bên trong VPC của chính bạn.

Bài viết và bài đăng trên blog

Công cụ gỡ lỗi cho kết nối mạng từ Amazon VPC
tác giả: Bhavin Desai
 
Ngày 19 tháng 1 năm 2019
Chia sẻ VPC: Cách tiếp cận mới đối với nhiều tài khoản và quản lý VPC
tác giả: Evgeny Vaganov  
 
Ngày 11 tháng 1 năm 2019

Tìm hiểu thêm về Amazon VPC

Truy cập trang chi tiết sản phẩm
Bạn đã sẵn sàng xây dựng chưa?
Bắt đầu với Amazon VPC
Bạn có thêm câu hỏi?
Hãy liên hệ với chúng tôi