Daftar Kontrol Akses (ACL) Jaringan berisi aturan yang diterapkan pada vSwitch untuk mengontrol lalu lintas antar subnet. Anda dapat menggunakan ACL Jaringan bersama dengan grup keamanan untuk menciptakan strategi keamanan bertingkat.
Risiko keamanan
Grup keamanan beroperasi di tingkat instance, khususnya di tingkat network interface card (NIC), untuk menentukan aturan akses berdasarkan layanan dan kebutuhan keamanan suatu instance. Sebaliknya, ACL Jaringan beroperasi di tingkat subnet dan menentukan aturan untuk lalu lintas yang mengalir antar subnet berdasarkan kebutuhan layanan dan keamanan subnet tersebut. Sementara grup keamanan menawarkan kontrol fleksibel dan detail halus, ACL Jaringan memberikan lapisan keamanan tambahan. Pendekatan berlapis ini membantu mencegah ancaman jaringan yang dapat timbul dari aturan grup keamanan yang salah konfigurasi atau dari instance yang tidak ditambahkan ke grup keamanan.
Ketika lalu lintas masuk ke virtual private cloud (VPC), pertama-tama ia mencapai vSwitch. ACL Jaringan diterapkan sebelum grup keamanan atau Cloud Firewall. ACL Jaringan menyaring lalu lintas masuk yang tidak sah, yang menghemat sumber daya pemrosesan. Demikian pula, lalu lintas keluar ke Internet juga melewati vSwitch terlebih dahulu. ACL Jaringan dapat menyaring lalu lintas keluar yang tidak perlu, yang membantu menghemat bandwidth keluar.
Praktik terbaik: Melengkapi aturan grup keamanan dengan ACL jaringan
Latar belakang dan tantangan
Dalam lingkungan komputasi awan, Anda sering kali perlu menghubungkan beberapa VPC untuk memungkinkan komunikasi antar layanan. Sebagai contoh, pertimbangkan dua VPC terpisah:
VPC1 (10.200.0.0/16): Berisi aplikasi yang perlu mengakses sumber daya di VPC2.
VPC2 (10.1.0.0/16): Menyediakan berbagai instance layanan dalam lingkungan jaringan yang kompleks.
Awalnya, untuk menyederhanakan pengembangan dan mempercepat penerapan layanan, aturan grup keamanan di VPC2 dikonfigurasikan menjadi sangat permisif. Hal ini menciptakan beberapa risiko keamanan. Misalnya, beberapa grup keamanan membuka port ke seluruh blok CIDR 10.0.0.0/8. Beberapa Instance ECS yang dimaksudkan hanya untuk akses internal bahkan dikonfigurasikan dengan aturan yang mengizinkan akses dari semua sumber (0.0.0.0/0).
Ketika Anda menghubungkan VPC1 dan VPC2 dengan Koneksi peering VPC, risiko keamanan potensial ini menjadi nyata. Tujuannya adalah untuk mengizinkan layanan di VPC1 mengakses port 80 pada kluster 10.1.38.0/24 di VPC2. Namun, cukup mengonfigurasikan aturan grup keamanan yang tepat untuk kluster target (10.1.38.0/24) saja tidak cukup. Koneksi peering menghubungkan blok CIDR 10.200.0.0/16 dari VPC1 dan blok CIDR 10.1.0.0/16 dari VPC2, baik sebagian maupun seluruhnya. Akibatnya, instance dan layanan lain yang salah konfigurasi di VPC2 bisa secara tidak sengaja terekspos ke VPC1, yang menciptakan kerentanan keamanan.
Solusi: Gunakan ACL jaringan untuk memperkuat keamanan perbatasan
Untuk menyelesaikan masalah ini dan menetapkan batas keamanan yang jelas dan andal, Anda dapat mengonfigurasikan ACL Jaringan pada vSwitch di VPC2 yang terhubung ke VPC1. ACL Jaringan adalah alat penyaringan paket tanpa status yang beroperasi di tingkat subnet untuk menyaring lalu lintas yang masuk atau keluar dari subnet. Ini bertindak sebagai firewall untuk subnet VPC dan memberikan kontrol keamanan yang lebih luas yang diterapkan sebelum grup keamanan.
Kebijakan konfigurasi adalah sebagai berikut:
Tolak secara default: Pertama, Anda dapat menetapkan aturan default di ACL Jaringan untuk menolak semua lalu lintas masuk dari blok CIDR VPC1 (10.200.0.0/16) dan semua lalu lintas keluar ke VPC1. Ini menetapkan garis dasar yang aman dan memastikan bahwa kedua VPC tidak dapat berkomunikasi tanpa izin eksplisit.
Izinkan lalu lintas tertentu: Kemudian, Anda dapat menambahkan aturan dengan prioritas lebih tinggi untuk secara eksplisit mengizinkan komunikasi dua arah pada port 80 antara VPC1 (10.200.0.0/16) dan kluster target di VPC2 (10.1.38.0/24).
Aturan Masuk: Izinkan lalu lintas TCP masuk pada port 80 dari alamat sumber 10.200.0.0/16 ke alamat tujuan 10.1.38.0/24.
Aturan Keluar: Izinkan lalu lintas TCP keluar (lalu lintas tanggapan) dari alamat sumber 10.1.38.0/24 ke alamat tujuan 10.200.0.0/16 pada range port sementara.
Dengan konfigurasi ini, vSwitch pertama-tama menggunakan ACL Jaringan untuk menyaring semua permintaan akses yang tidak sah. Hanya lalu lintas sah yang secara eksplisit diizinkan yang diteruskan ke Instance ECS di subnet. Bahkan jika aturan grup keamanan yang dilampirkan pada beberapa Instance ECS memiliki cacat, instance tersebut tidak terekspos ke VPC1. Konfigurasi ini sangat meningkatkan keamanan komunikasi lintas-VPC.