Panoramica
Ricopri il ruolo di Security Engineer presso Azienda X. Sei responsabile della sicurezza di tutte le istanze Amazon Elastic Compute Cloud (Amazon EC2) aziendali, dei dati archiviati nelle istanze (dati inattivi) e dei dati che passano da un’istanza all’altra (dati in movimento).
Gli sviluppatori delle applicazioni di Azienda X usano spesso le istanze EC2 per i server web front-end e i server di database back-end. Anziché applicare correzioni relative alla sicurezza ad ogni nuova istanza appena vengono distribuite, vorresti fornire un’immagine di base preconfigurata a tutte le istanze aziendali.
In questo laboratorio, creerai un’AMI (Amazon Machine Image) contenente varie modifiche alla configurazione. Potrai quindi distribuire una nuova istanza dall’AMI personalizzata e usare script di dati utente nell’istanza per aggiungere un nuovo utente specifico alla funzione dell’istanza. Successivamente imparerai come usare AWS Systems Manager per mantenere le patch applicate alle istanze. Infine, userai le regole del gruppo di sicurezza e crittografia Amazon Elastic Block Store (Amazon EBS) per proteggere i dati aziendali inattivi e in movimento.
Obiettivi
Al termine del laboratorio, sarai in grado di svolgere le seguenti attività :
- Creare un’AMI personalizzata.
- Distribuire una nuova istanza EC2 da un’AMI personalizzata.
- Applicare patch a un’istanza EC2 con AWS Systems Manager.
- Crittografare un volume EBS.
- Comprendere come funziona la crittografia EBS e come influenza altre operazioni, come le snapshot.
- Utilizzare i gruppi di sicurezza per limitare il traffico tra le istanze EC2 solo a ciò che è crittografato.
Competenze tecniche preliminari
Per completare correttamente questo laboratorio, è necessario avere familiarità con la navigazione di base di Console di gestione AWS e avere dimestichezza con i comandi in esecuzione della Command Line Interface (CLI) di Linux.
Durata
Il completamento di questo laboratorio richiede circa 45 minuti.
Legenda icone
In questo laboratorio vengono utilizzate varie icone per richiamare l’attenzione su diversi tipi di istruzioni e note. Nell’elenco seguente viene illustrato lo scopo di ciascuna di esse:
- Comando: un comando da eseguire.
- Output previsto: un output di esempio che puoi utilizzare per verificare l’output di un comando o di un file modificato.
- Nota: una nota, un suggerimento o indicazioni importanti.
- Ulteriori informazioni: dove trovare ulteriori informazioni.
- Attenzione: informazioni di particolare interesse o importanza, non così importanti da causare problemi alle apparecchiature o ai dati se non si rispettano, ma che potrebbero comportare la necessità di ripetere determinati passaggi.
- Prendi in considerazione: un momento di pausa per riflettere sulla modalità di applicazione di un concetto nel tuo ambiente o per avviare una conversazione sul topic in questione.
- Aggiorna: un momento in cui potrebbe essere necessario aggiornare un elenco o una pagina del browser web per mostrare nuove informazioni.
Panoramica dell’ambiente
Il seguente diagramma mostra l’architettura di base dell’ambiente di laboratorio:
Di seguito vengono riportate le principali risorse illustrate nel diagramma:
- Un VPC con una sottorete pubblica e due sottoreti private in una zona di disponibilità , e una sottorete pubblica in una seconda zona di disponibilità .
- Un Network Load Balancer con due nodi, uno in ciascuna sottorete pubblica.
- Un’istanza EC2 che funge da server web nella prima sottorete privata.
- Un’istanza EC2 che funge da server di database nella seconda sottorete.
- Due gruppi di sicurezza, uno per ciascuna istanza in base allo scopo.
Il traffico della rete fluisce da un utente esterno, attraverso un gateway internet, in uno dei due nodi Network Load Balancer, a un server web. Se è richiesto l’URL del sito di blog WordPress in esecuzione sul server web, il traffico fluisce anche nel server di database.
