Amazon VPC 中的互联网络流量隐私
Amazon Virtual Private Cloud 提供三种功能,以供您用来提高和监控 Virtual Private Cloud (VPC) 的安全性:
-
安全组:安全组在资源级别(例如 EC2 实例)允许或拒绝特定入站和出站流量。启动实例时,您可将其与一个或多个安全组关联。在您的 VPC 中的每项实例都可能属于不同的安全组集合。如果您在启动实例时没有指定安全组,则实例会自动与其 VPC 的默认安全组关联。有关更多信息,请参阅安全组。
-
网络访问控制列表 (ACL):网络 ACL 在子网级别允许或拒绝特定的入站和出站流量。有关更多信息,请参阅 使用网络 ACL 控制指向子网的流量。
-
流日志:流日志捕获有关在您的 VPC 中传入和传出网络接口的 IP 流量的信息。您可以为 VPC、子网或各个网络接口创建流日志。流日志数据将发布到 CloudWatch Logs 或 Amazon S3,可帮助您诊断过于严格或过于宽松的安全组和网络 ACL 规则。有关更多信息,请参阅 使用 VPC 流日志记录 IP 流量。
-
流量镜像:您可以从 Amazon EC2 实例的弹性网络接口复制网络流量。然后将流量发送到带外安全和监控设备。有关更多信息,请参阅流量镜像指南。
您可以使用 Amazon Identity and Access Management (IAM) 来控制组织中有权限创建和管理安全组、网络 ACL 和流日志的成员。例如,您可以授予您的网络管理员此许可,而不将许可授予授予仅需要启动实例的人员。有关更多信息,请参阅 适用于 Amazon VPC 的 Identity and Access Management。
Amazon 安全组和网络 ACL 不会筛选发往和来自以下位置的流量:
-
Amazon 域名服务 (DNS)
-
Amazon 动态主机配置协议 (DHCP)
-
Amazon EC2 实例元数据
-
Amazon ECS 任务元数据端点
-
Windows 实例的许可证激活
-
Amazon Time Sync Service
-
默认 VPC 路由器使用的预留 IP 地址
比较安全组和网络 ACL
下表概述了安全组和网络 ACL 之间的基本差异。
| 安全组 | 网络 ACL |
|---|---|
| 在实例级别运行 | 在子网级别运行 |
| 仅当与实例关联时才应用于该实例 | 应用于关联子网中部署的所有实例(如果安全组规则过于宽松,则提供额外的防御层) |
| 仅支持允许规则 | 支持允许规则和拒绝规则 |
| 在决定是否允许流量前评估所有规则 | 在决定是否允许流量时,按顺序评估规则,从编号最低的开始 |
| 有状态:返回数据流会得到允许,不受任何规则的影响 | 无状态:返回流量必须被规则明确允许 |
下图展示了由安全组和网络 ACL 提供的安全层。例如,来自互联网网关的数据流会使用路由表中的路由,路由到合适的子网。与子网关联的网络 ACL 规则控制允许进入子网的数据流。与实例关联的安全组规则控制允许进入实例的数据流。
您只能使用安全组保护您的实例。但是,您可以添加网络 ACL 作为额外的防御层。有关更多信息,请参阅示例:控制对子网中的实例的访问。