Định tuyến và bảo mật trong Amazon VPC trên AWS

Trong bài viết dưới đây, hãy cùng tìm hiểu về định tuyến và bảo mật Amazon VPC. Đặc biệt là định tuyến Amazon VPC Routing và bảo mật Amazon VPC Security.

1. Định tuyến trong VPC (Amazon VPC Routing)

1.1. Bảng định tuyến chính (Main route table)

Khi tạo VPC, AWS sẽ tạo một bảng định tuyến được gọi là bảng định tuyến chính. Một bảng định tuyến chứa một tập hợp các quy tắc, được gọi là các tuyến. Các tuyến này được sử dụng để xác định lưu lượng mạng được định hướng đến đâu. AWS cho rằng khi bạn tạo một VPC mới với các mạng con, bạn muốn lưu lượng chảy giữa chúng. Do đó, cấu hình mặc định của bảng định tuyến chính là cho phép lưu lượng giữa tất cả các mạng con trong mạng cục bộ. Các quy tắc sau đây áp dụng cho bảng định tuyến chính:

• Bạn không thể xóa bảng định tuyến chính.
• Bạn không thể đặt bảng định tuyến cổng làm bảng định tuyến chính.
• Bạn có thể thay thế bảng định tuyến chính bằng bảng định tuyến mạng con tùy chỉnh.
• Bạn có thể thêm, xóa và sửa đổi các tuyến trong bảng định tuyến chính.
• Bạn có thể liên kết rõ ràng một mạng con với bảng định tuyến chính, ngay cả khi nó đã được liên kết ngầm định

1.2. Bảng định tuyến tùy chỉnh (Customer route tables)

Bảng định tuyến chính được sử dụng ngầm định bởi các mạng con không có liên kết bảng định tuyến rõ ràng. Tuy nhiên, bạn có thể muốn cung cấp các tuyến khác nhau trên cơ sở mỗi mạng con để lưu lượng truy cập vào các tài nguyên bên ngoài VPC. Ví dụ: ứng dụng của bạn có thể bao gồm giao diện người dùng và cơ sở dữ liệu. Bạn có thể tạo các mạng con riêng biệt cho các tài nguyên. Đồng thời, cung cấp các tuyến khác nhau cho từng tài nguyên.

Nếu bạn liên kết một mạng con với một bảng định tuyến tùy chỉnh, mạng con sẽ sử dụng bảng đó thay vì bảng định tuyến chính. Mỗi bảng định tuyến tùy chỉnh sẽ có sẵn tuyến cục bộ bên trong. Tuyến này cho phép truyền thông giữa tất cả các tài nguyên và mạng con bên trong VPC. Bạn có thể bảo vệ VPC của mình bằng cách liên kết rõ ràng từng mạng con mới với một bảng định tuyến tùy chỉnh. Sau đó, để bảng định tuyến chính ở trạng thái mặc định ban đầu.

2. Bảo mật trong VPC (Amazon VPC Security)

2.1. Bảo mật mạng con với danh sách kiểm soát truy cập mạng

Danh sách kiểm soát truy cập mạng (network ACL – Access Control List) như một tường lửa ảo ở cấp độ mạng con. ACL mạng cho phép bạn kiểm soát loại lưu lượng nào được phép vào hoặc rời khỏi mạng con. Bạn có thể định cấu hình điều này bằng cách thiết lập các quy tắc xác định những gì muốn lọc. Sau đây là ví dụ về ACL mặc định cho VPC hỗ trợ IPv4.

• Ví dụ về mạng ACL mặc định

ACL mạng mặc định được hiển thị trong bảng trước. Nó cho phép tất cả lưu lượng truy cập vào và ra khỏi mạng con. Để cho phép dữ liệu chảy tự do đến mạng con, đây là một nơi bắt đầu tốt.

Tuy nhiên, bạn có thể muốn hạn chế dữ liệu ở cấp độ mạng con. Ví dụ: nếu bạn có ứng dụng web, bạn có thể hạn chế mạng của mình để cho phép lưu lượng truy cập HTTPS và lưu lượng truy cập Giao thức máy tính từ xa (Remote Desktop Protocal – RDP) đến máy chủ web của bạn.

• Ví dụ về mạng ACL mặc định

Lưu ý rằng trong mạng ACL tùy chỉnh trong ví dụ trước, bạn cho phép phạm vi inbound 443 và outbound 1025–65535. Đó là vì HTTPS sử dụng cổng 443 để khởi tạo kết nối và sẽ phản hồi với một cổng tạm thời. Mạng ACL được coi là không có trạng thái (stateless). Vì vậy bạn cần bao gồm cả cổng inbound và outbound được sử dụng cho giao thức. Nếu bạn không bao gồm phạm vi outbound, máy chủ sẽ phản hồi nhưng lưu lượng sẽ không bao giờ rời khỏi mạng con.

Vì mạng ACL được cấu hình theo mặc định để cho phép lưu lượng đến và đi. Cho nên bạn không cần phải thay đổi cài đặt ban đầu của chúng trừ khi bạn cần các lớp bảo mật bổ sung.

2.2. Bảo mật các phiên bản EC2 với các nhóm bảo mật

Lớp bảo mật tiếp theo dành cho các phiên bản EC2 của bạn. Tại đây, bạn có thể tạo tường lửa ảo được gọi là nhóm bảo mật. Cấu hình mặc định của nhóm bảo mật chặn mọi lưu lượng truy cập đến và cho phép mọi lưu lượng truy cập đi.

Theo mặc định, nhóm bảo mật chỉ cho phép lưu lượng truy cập ra. Để cho phép lưu lượng truy cập vào, bạn phải tạo quy tắc vào.

Liệu điều này có chặn tất cả các phiên bản EC2 khỏi việc nhận phản hồi của bất kỳ yêu cầu nào của khách hàng không? Có, các nhóm bảo mật có trạng thái. Nghĩa là, chúng sẽ ghi nhớ nếu kết nối ban đầu được khởi tạo bởi phiên bản EC2 hay từ bên ngoài và tạm thời cho phép lưu lượng phản hồi mà không sửa đổi các quy tắc đến.

Nếu bạn muốn phiên bản EC2 của mình chấp nhận lưu lượng truy cập từ internet, bạn phải mở các cổng vào. Nếu bạn có máy chủ web, bạn cần chấp nhận các yêu cầu HTTP và HTTPS để cho phép loại lưu lượng truy cập đó vào nhóm bảo mật của mình. Bạn có thể tạo một quy tắc vào cho phép cổng 80 (HTTP) và cổng 443 (HTTPS), như được hiển thị.

3. Quy tắc nhóm bảo mật đến

Như đã biết, các mạng con có thể được sử dụng để phân tách lưu lượng giữa các máy tính trong mạng. Các nhóm bảo mật có thể được sử dụng theo cách tương tự. Một mẫu thiết kế phổ biến là sắp xếp các tài nguyên thành các nhóm khác nhau. Sau đó, tạo các nhóm bảo mật cho từng nhóm để kiểm soát giao tiếp mạng giữa chúng.

Ví dụ trên định nghĩa ba tầng và cô lập từng tầng bằng các quy tắc nhóm bảo mật đã xác định. Trong trường hợp này, lưu lượng truy cập internet đến tầng web được phép qua HTTPS. Lưu lượng truy cập từ tầng web đến tầng ứng dụng được phép qua HTTP. Lưu lượng truy cập từ tầng ứng dụng đến tầng cơ sở dữ liệu được phép qua MySQL. Điều này khác với môi trường tại chỗ truyền thống. Vì trong đó bạn cô lập các nhóm tài nguyên bằng cấu hình VLAN. Trong AWS, nhóm bảo mật cho phép bạn đạt được sự cô lập tương tự mà không cần liên kết các nhóm bảo mật với mạng của bạn.

Định tuyến trong Amazon VPC là một phần quan trọng của kiến trúc mạng ảo trên AWS. Bằng cách kết hợp các tính năng, Amazon VPC cung cấp một nền tảng mạng linh hoạt, an toàn và có thể tùy chỉnh cao để đáp ứng nhu cầu đa dạng của các ứng dụng và doanh nghiệp trên đám mây.

Đăng ký khóa học AWS tại CodeGym để làm chủ Amazon VPC cùng các dịch vụ AWS khác!