Elastic Compute Service：Keamanan Jaringan

Isolasi jaringan dengan VPC

ECS memastikan isolasi jaringan menggunakan Virtual Private Cloud (VPC), yaitu jaringan pribadi yang dapat disesuaikan di cloud yang memberikan kendali penuh atas lingkungan jaringan Anda. Anda dapat membuat beberapa VPC sesuai dengan kebutuhan Anda. VPC menawarkan kemampuan isolasi sebagai berikut:

• VPC secara logis dipisahkan satu sama lain dan tidak berkomunikasi secara default.

• Instance ECS dalam VPC dapat berkomunikasi melalui jaringan internal, sehingga mengurangi paparan terhadap jaringan publik.

• Anda dapat membuat beberapa vSwitch dalam VPC untuk mengelola segmentasi jaringan dan pembagian blok CIDR, meningkatkan isolasi antara switch yang berbeda.

Untuk informasi lebih lanjut, lihat VPC dan vSwitch dan Buat dan kelola VPC.

Isolasi layanan dengan vSwitch

Kami merekomendasikan agar Anda menggunakan vSwitch untuk membagi blok CIDR guna mencapai isolasi layanan untuk skenario bisnis yang berbeda. vSwitch adalah komponen dasar dari VPC yang menghubungkan berbagai instance dan memungkinkan pengelolaan yang mudah. Mereka menyediakan fitur keamanan berikut:

• Isolasi layanan: Memungkinkan pemisahan situs web berdasarkan tingkat keamanan dan jenis layanan.

• Kontrol lalu lintas: VPC menawarkan daftar kontrol akses jaringan (ACL) yang dapat dikaitkan dengan vSwitch untuk mengatur lalu lintas yang mereka tangani.

Untuk informasi lebih lanjut, lihat VPC dan vSwitch dan Buat dan kelola vSwitch.

PrivateLink untuk akses jaringan pribadi ke ECS

PrivateLink adalah layanan yang digunakan untuk membangun koneksi pribadi, stabil, dan aman antara VPC dan ECS, memungkinkan akses ke ECS seolah-olah berada di dalam VPC tanpa memerlukan gateway Internet, perangkat NAT, atau VPN. Ini menyederhanakan arsitektur jaringan, memungkinkan layanan akses jaringan pribadi, meningkatkan keamanan VPC, dan mengurangi risiko keamanan potensial yang terkait dengan akses jaringan publik. Untuk informasi lebih lanjut, lihat Apa itu PrivateLink?.

Gunakan ACL jaringan untuk kontrol lalu lintas

ECS menggunakan ACL jaringan dalam VPC untuk mengelola lalu lintas. ACL jaringan menawarkan mekanisme kontrol akses jaringan dan dapat dikaitkan dengan vSwitch. Dengan menyesuaikan aturan ACL jaringan, Anda dapat mengontrol aliran data masuk dan keluar dari vSwitch, sehingga mengontrol akses ke instance ECS di dalam vSwitch tersebut. Untuk informasi lebih lanjut, lihat ACL Jaringan dan Buat dan kelola ACL jaringan.

Gunakan kelompok keamanan untuk mengontrol lalu lintas NIC

ECS menggunakan kelompok keamanan untuk mengontrol lalu lintas Network Interface Controller (NIC). Kelompok keamanan adalah firewall virtual yang mengontrol lalu lintas masuk dan keluar untuk instance ECS. Anda dapat mengonfigurasi aturan masuk untuk kelompok keamanan guna mengontrol lalu lintas ke instance ECS dalam grup dan aturan keluar untuk mengontrol lalu lintas dari instance tersebut. Untuk informasi lebih lanjut, lihat Ikhtisar dan Kelola sumber daya yang terkait dengan kelompok keamanan.

Kelompok keamanan diklasifikasikan menjadi kelompok keamanan dasar dan kelompok keamanan tingkat lanjut, keduanya tersedia secara gratis. Kedua jenis kelompok keamanan cocok untuk skenario yang berbeda dan berbeda dalam hal kapasitas kelompok keamanan, dukungan untuk aturan kelompok keamanan yang merujuk pada kelompok keamanan sebagai objek otorisasi, dukungan untuk kebijakan konektivitas internal, dan aturan kontrol akses default. Untuk informasi lebih lanjut, lihat Kelompok keamanan dasar dan kelompok keamanan tingkat lanjut.

Log aliran memantau lalu lintas jaringan

Log aliran dapat mencatat informasi tentang lalu lintas masuk dan keluar dari antarmuka jaringan elastis (ENI). Anda dapat menggunakan fitur log aliran untuk memeriksa aturan ACL, memantau lalu lintas jaringan, dan memecahkan masalah kesalahan jaringan. Untuk informasi lebih lanjut, lihat Log aliran.

Pemantulan lalu lintas mendeteksi pengecualian jaringan

Anda dapat menggunakan fitur pemantulan lalu lintas untuk memantulkan lalu lintas jaringan yang mengalir melalui ENI berdasarkan filter tertentu. Anda dapat menggunakan pemantulan lalu lintas untuk memantulkan lalu lintas jaringan dari instance ECS dalam VPC dan meneruskan lalu lintas ke ENI tertentu atau Classic Load Balancer (CLB) internal. Fitur ini berguna dalam skenario seperti inspeksi konten, pemantauan ancaman, dan pemecahan masalah. Untuk informasi lebih lanjut, lihat Pemantulan lalu lintas.

Anti-DDoS

Anti-DDoS Dasar diaktifkan secara default untuk instance ECS. Fitur ini membantu membersihkan trafik DDoS sebelum mencapai host ECS, secara efektif melindungi instance ECS dari serangan DDoS. Untuk informasi lebih lanjut, lihat Anti-DDoS Dasar.

Cloud Firewall

Cloud Firewall menyediakan manajemen keamanan terpadu dengan firewall internet, firewall VPC, dan firewall internal. Firewall internal dapat melindungi lalu lintas masuk dan keluar antara instance ECS, dan mencegah akses tidak sah. Untuk informasi lebih lanjut, lihat Buat kebijakan kontrol akses untuk firewall internal.

Web Application Firewall

Web Application Firewall (WAF) menyaring lalu lintas berbahaya, melindungi situs web dan aplikasi dari masalah kinerja akibat intrusi. Anda dapat menambahkan instance ECS ke WAF untuk perlindungan. Setelah Anda menambahkan instance ECS ke WAF, semua lalu lintas web dari instance tersebut diarahkan ke WAF melalui gateway tertentu untuk inspeksi. WAF menyaring lalu lintas berbahaya dan meneruskan lalu lintas normal ke instance ECS. Untuk informasi lebih lanjut, lihat Aktifkan perlindungan WAF untuk instance ECS.