Vorteile einer VPC für den Schutz von EC2-Instanzen

Viele Amazon AWS Kunden nutzen ihre EC2 Instanzen ohne ein VPC … und schützen Ihre EC2 Instanzen ausschließlich über EC2-Security Groups … das ist soweit ok, aber man kann es natürlich unter Einsatz einer Amazon AWS VPC besser machen … denn durch eine Amazon AWS VPC, die übrigens nichts groß extra kostet, kann man ein höheres Maß an Sicherheit erreichen. Am besten für die meisten Anwendungsfälle ist eigentlich da Szenario bestehend aus einem Public- und einem Private-Subnet in einer VPC.

In diesem gängigen Szenario kommen die aus dem Internet erreichbaren Server (i.d.R. WebServer) in das Public-Subnet. Alle sonstigen Backend-Server kommen in das Privat-Subnet und sind somit aus dem Internet nicht erreichbar und somit zusätzlich geschützt. Damit die Server im Privat-Subnet aber auf z.B. Windows Updates zugreifen können, erfolgt ein Zugang über den Umweg über eine spezielle NAT-Instanz.

Der Einsatz des dargestellten VPC bringt folgende Vorteile:

  • die aus dem EC2 Bereich bekannten Security-Groups haben im VPC Umfeld die Möglichkeit nicht nur Inbound sondern auch Outbound Regel zu erstellen.
  • neben den Security-Groups gibt es nun noch zusätzlich die Möglichkeit, auf Subnet-Ebene Network-ACLs einzurichten. Diese betreffen automatisch immer das ganze Subnet, sollte also mal jemand vergessen einer EC2-Instanz eine entsprechende Security-Group zuzuordnen, so gilt immer  noch die Network ACL auf Subnet-Ebene. Aber Vorsicht, Network ACLs sind stateless … Antworten auf Inbound Traffic müssen über explizite zusätzliche Portfreigaben ermöglicht werden …
  • Elastic IPs, die einer EC2-Instanz in einer VPC zugewiesen sind bleiben auch bei einem Stop der Instanz entsprechend zugewiesen und müssen nicht wie im normalen EC2-Szenario erneut nach einem Restart zugewiesen werden

Mehr zu einem Einsatz eines VPC, wie das genau geht und weitere Unterstützung gerne auf Anfrage!

Similar Posts You Might Enjoy

Windows Installations-Medien für EC2 als Snapshots

Wenn man mit Windows-basierten EC2-Instanzen arbeitet, kann es hin und wieder vorkommen, dass man bestimmte Windows-Services nachinstallieren muss … und dann fehlt einem die DVD … Glücklicherweise hat Amazon AWS alle Windows Installations-Medien als Snapshots hinterlegt. In diesem kurzen Artikel sind die SnapShot IDs aufgelistet und erklärt, wie man die Snapshots als Laufwerk seiner EC2 Instanz hinzufügt. - by tecRacer

Wie Instagram auf Basis von Amazon AWS skaliert ...

Instagram, 10 Mitarbeiter, 1 Photo-App für iOs und 1 Photo-App für Android … und eben 30+ Million User … und Facebook kaufte das alles für 1 Milliarde USD … Aber wie haben die Jungs von Instagram das Problem der stetig wachsenden Userzahlen in den Griff bekommen … Amazon EC2 … mehr hier in dieser doch sehr freakigen aber eindrucksvollen Präsentation der Instagram Gründer … http://www.businessinsider.com/instagram-cofounder-heres-how-we-scaled-into-a-billion-dollar-company-deck-2012-4 - by tecRacer

CloudWatch Alarme über Slack empfangen

Ob CPU-Auslastung einer EC2-Instanzen, Fehler beim Ausführen einer Lambda-Funktion oder verfügbarer Speicherplatz einer RDS-Instanz mit Amazon CloudWatch lassen sich Ressourcen bei AWS überwachen. Dafür werden zwei Komponenten benötigt: Metriken: Eine Metrik ist ein Sammeltopf für Messwerte, die von den AWS Services automatisch befüllt werden. Alarme: Ein Alarm überprüft in regelmäßigen Abständen ob sich die Messwerte einer Metrik noch innerhalb von definierten Grenzen bewegt. Eine Übersicht über alle verfügbaren Metriken findet sich unter Metriken und Dimensionen-Referenz von Amazon CloudWatch. - by Andreas Wittig