Gambaran Umum
Anda adalah teknisi keamanan jaringan di AnyCompany. Anda bertanggung jawab untuk membuat infrastruktur jaringan yang aman di AWS untuk mempersiapkan migrasi AnyCompany mendatang ke cloud. AnyCompany saat ini memiliki infrastruktur keamanan jaringan tiga tingkat on-premise:
- Zona Akses Publik meng-hosting penyeimbang beban yang berfungsi sebagai titik koneksi utama ke server web Anda.
- Zona Server Web meng-hosting server frontend untuk situs web Anda.
- Zona Basis Data meng-hosting server basis data backend yang menyediakan data ke situs web Anda.
Anda harus memastikan setiap zona tersegmentasi dengan aman satu sama lain dan hanya tipe lalu lintas tertentu yang diizinkan mengalir di antara zona tersebut untuk mendukung situs web dan aplikasi perusahaan.
Di lab ini, Anda menggunakan subnet publik dan privat, grup keamanan, dan ACL jaringan untuk membuat infrastruktur jaringan tiga zona keamanan. Kemudian Anda akan menggunakan log aliran VPC untuk memantau lalu lintas yang mencapai sumber daya di setiap zona untuk memverifikasi bahwa hanya lalu lintas yang diperlukan yang diizinkan.
Tujuan
Di akhir lab ini, Anda akan mampu:
- Membuat infrastruktur jaringan tiga zona keamanan
- Menerapkan segmentasi jaringan menggunakan grup keamanan, ACL jaringan, serta subnet publik dan privat
- Memantau lalu lintas jaringan ke instans EC2 menggunakan log aliran VPC
Prasyarat pengetahuan teknis
Agar berhasil menyelesaikan lab ini, Anda harus terbiasa dengan navigasi Konsol Manajemen AWS dan memiliki pemahaman tentang konsep jaringan dasar.
Durasi
Diperlukan sekitar 45 menit untuk menyelesaikan lab ini.
Kunci ikon
Beragam ikon digunakan di seluruh lab ini untuk menarik perhatian kepada berbagai tipe petunjuk dan catatan. Daftar berikut menjelaskan tujuan setiap ikon:
- Output sampel yang dapat Anda gunakan untuk memverifikasi output dari perintah atau file yang diedit
- Petunjuk, tips, atau panduan penting
- Tempat untuk menemukan informasi selengkapnya
- Informasi yang menarik atau penting (tidak terlalu berpengaruh terhadap peralatan atau data jika Anda melewatkannya, tetapi dapat membuat Anda harus mengulangi langkah-langkah tertentu)
- Berhenti sejenak untuk mempertimbangkan cara menerapkan konsep di lingkungan Anda sendiri atau untuk memulai percakapan tentang topik yang ada
- Kesempatan untuk mengukur pengetahuan dan menguji apa yang telah Anda pelajari
- Petunjuk untuk pertanyaan atau tantangan
Gambaran umum lingkungan
Diagram berikut menunjukkan arsitektur dasar lingkungan lab:
Daftar berikut merinci sumber daya utama dalam diagram:
- VPC dengan satu subnet publik dan dua subnet privat di satu Availability Zone, dan satu subnet publik di Availability Zone kedua.
- Penyeimbang Beban Jaringan dengan dua simpul, satu di setiap subnet publik.
- Instans EC2 berperan sebagai server web di subnet privat pertama.
- Instans EC2 berperan sebagai server basis data di subnet kedua.
- Dua grup keamanan, satu untuk setiap instans berdasarkan tujuannya.
Lalu lintas jaringan mengalir dari pengguna eksternal, melewati gateway internet ke salah satu dari dua simpul Network Load Penyeimbang Beban Jaringan ke server web. Jika URL situs blog WordPress yang berjalan pada server web diminta, lalu lintas juga mengalir ke server basis data.
Karena saat ini pembuatan sertifikat untuk Penyeimbang Beban Aplikasi di platform lab tidak diizinkan, Penyeimbang Beban Jaringan akan digunakan sebagai gantinya. Penyeimbang beban bertindak sebagai pass-through untuk lalu lintas masuk ke server web - tidak menganalisis atau mengubah lalu lintas dengan cara apa pun. Dalam lingkungan produksi, Anda dapat mempertimbangkan untuk menggunakan Penyeimbang Beban Aplikasi untuk memanfaatkan fitur tambahan dan tindakan keamanannya, seperti menerima dan memproses permintaan HTTPS dari klien sebelum mencapai server web. Untuk informasi selengkapnya tentang fitur setiap tipe Elastic Load Balancer, lihat Perbandingan produk Elastic Load Balancing di bagian Sumber daya tambahan di akhir lab ini.
