我真的需要 VPC 吗?
从安全角度来看,VPC 并不是什么神奇的力量。它是另一层责任。
在 AWS 上运行应用程序?您需要一个VPC:一个虚拟专用网络,可以保护您的服务器免受公共互联网的破坏,就像它们在您的旧数据中心一样。
或者说,这就是我们所谓的云 1.0 即 IaaS 浪潮的指导哲学,当时 EC2 是王者。
但如今,当我在云中构建新的应用程序或与其他做同样事情的构建者交谈时,VPC 并不总是出现在谈话中。
这是因为云原生应用程序越来越多地运行在更高级别的托管服务上——例如 Lambda、API Gateway 和 DynamoDB——这些服务通过 API 相互通信。在 AWS 中,这可能意味着使用IAM进行身份验证和授权来保护微服务之间的交互。
如果您需要重新连接到传统数据中心,VPC 将始终占据主导地位。但它们是否仍应在保护现代云应用程序方面发挥关键作用?我有自己的看法,但我决定咨询几位专家。
复选框还是必需品?
也许您曾参加过与安全团队的会议,尝试使用为本地应用程序开发的检查表来评估云原生设计。PurpleBox Security 的 Nihat Guven 也是如此。“安全和合规性领域正在迎头赶上,”他说。“在合规性方面,更多的是遵循标准并勾选复选框”,而不是真正思考 VPC 可能提供或可能不提供的真正安全优势。
另一位 AWS 精英、即将出版的《高管云安全》一书的作者 Teri Radichel 也认为 VPC 并非万能。她指出:“实际上,VPC 什么都做不了。您需要一个包含 NACL、子网和安全组的适当网络架构。您需要知道如何构建架构,以便监控攻击。人们需要了解网络层、攻击以及攻击者如何在网络中移动。”
这引出了问题的关键:为正常运行的应用程序添加 VPC 的理由始终是要在IAM 规定的理论最低限度上添加安全层。你引入 VPC 不是为了解决问题,而是因为你想要额外的保护层来防止数据泄露,或者对流量模式进行更细粒度的分析。
这就是很多工程师感到困惑的地方。
这是一种责任,而不是超能力
从安全角度来看,VPC 并不是超能力,而是一项额外的责任。
Don Magee 曾是 AWS 的安全专家,现在负责 Allstate 的云保证和可观察性。“如果业务不需要 VPC(例如传统连接),那么最好不要使用它,”他说。“由于增加了复杂性,多层安全配置实际上弊大于利。”
没错:在安全配置中,就像在 KonMari 中一样,越多并不总是越好。如果你还不擅长配置 IAM 角色,你怎么会认为自己在 VPC 安全方面会更好呢?如果你将S3 存储 桶 公开 暴露,你确定你可以监管 VPC 引入的安全组、ACL 和子网吗?
VPC 确实为您提供了一些额外的网络监控工具,例如流日志,但同样,您知道如何有效地使用这些工具吗?如果不知道,您只是在花钱获取昂贵的数据,而没有明确的检查计划。
而且,VPC 不会在数据进入网络后为其提供某种内在保护。正如 Magee 提醒我们的那样:“即使在 VPC 内部,您的数据也只是像 HTTPS 流量一样加密。您相信吗?”
前进之路:抽象,而非放弃
我当然不是说你应该放弃云安全,因为这太难了。相反,我要说的是,正是因为网络安全既困难又重要,你应该尽可能地依赖安全默认设置,而不是自己酝酿网络控制大杂烩。
如果这听起来像是一种“无服务器”思维,那你就错了。毕竟,正如 AWS Lambda 发明者 Tim Wagner 喜欢指出的那样,所有Lambda 函数默认都在 VPC 中运行 - 它只是一个 AWS 管理的 VPC,(让我们面对现实)它可能比您可以引入的自定义 VPC 的配置更好。
这都是更大趋势的一部分。AWS 仍在通过 AppSync 和 DynamoDB 等更高级的服务为您处理主机级安全性。这并不是说网络安全在这些架构中的重要性降低,只是更多的责任已从堆栈向下转移到云提供商。是的,您放弃了一些控制权。但您将能够更快地构建,同时遵守 AWS 设置的最佳实践护栏。
您可能会说,保护云原生应用程序就是“放手让云来做”。这是传统安全团队正在追赶的范式转变,但对于那些已经知道如何利用它的人来说,这是一个巨大的优势。
因此,请进行威胁建模,了解风险并对您的团队进行适当的培训。您最终可能仍会遇到需要 VPC 的要求。但如果您的云原生蜘蛛侠感官开始发麻,请记住:有时,更大的力量来自于更少的责任。
Forrest Brazeal 是 AWS 无服务器英雄 和企业架构师,曾领导从初创公司到财富 50 强等公司的云采用计划。
成为 AWS 认证的安全专家
Cloud Guru 拥有您从新手变成专家所需的课程、实践实验室和考试模拟器。
免责声明:本内容来源于第三方作者授权、网友推荐或互联网整理,旨在为广大用户提供学习与参考之用。所有文本和图片版权归原创网站或作者本人所有,其观点并不代表本站立场。如有任何版权侵犯或转载不当之情况,请与我们取得联系,我们将尽快进行相关处理与修改。感谢您的理解与支持!
请先 登录后发表评论 ~