Cara Melindungi Dua Micro-Frontend dengan Kebutuhan Akses Berbeda di AWS Backend

Temp mail SuperHeros
Cara Melindungi Dua Micro-Frontend dengan Kebutuhan Akses Berbeda di AWS Backend
Cara Melindungi Dua Micro-Frontend dengan Kebutuhan Akses Berbeda di AWS Backend
Mia Chevalier
Sabtu, 28 Desember 2024 20.18.06

Menyeimbangkan Keamanan dan Aksesibilitas dalam Arsitektur AWS Micro-Frontend

Merancang arsitektur cloud yang aman dan terukur sering kali melibatkan keseimbangan aksesibilitas dan akses terbatas. Dalam pengaturan AWS Anda, Anda memiliki dua mikro-frontend dengan persyaratan akses unik. FE-A harus dibatasi pada IP statis tertentu, sedangkan FE-B harus dapat diakses secara publik. Mengatasi kebutuhan-kebutuhan ini secara bersamaan dapat menimbulkan tantangan. 😅

Tantangan muncul ketika mengkonfigurasi grup keamanan di EC2. Jika Anda mengizinkan akses ke 0.0.0.0, kedua frontend dapat diakses publik, sehingga membahayakan keamanan FE-A. Di sisi lain, membatasi akses ke satu IP statis akan menyangkal ketersediaan publik untuk FE-B. Hal ini menciptakan tindakan penyeimbangan yang kompleks antara keterbukaan dan keamanan.

Meskipun fungsi Lambda untuk memperbarui rentang IP secara dinamis mungkin tampak layak, namun hal ini menimbulkan overhead tambahan dan bukan solusi jangka panjang yang optimal. Misalnya, hal ini dapat meningkatkan biaya dan kompleksitas seiring berjalannya waktu. Selain itu, mengelola pembaruan yang sering dilakukan pada grup keamanan dapat menjadi rumit dan rawan kesalahan.

Menemukan solusi hemat biaya yang memenuhi persyaratan ini sangatlah penting. Tujuannya adalah untuk melindungi FE-A sekaligus memastikan FE-B tetap dapat diakses secara global tanpa menimbulkan kerumitan yang tidak perlu. Mari jelajahi cara mencapai hal ini menggunakan praktik terbaik AWS. 🚀

Memerintah Contoh Penggunaan
waf_client.create_web_acl Perintah ini digunakan untuk membuat WebACL Web Application Firewall (WAF) di AWS. Ini membantu menentukan aturan dan tindakan untuk mengontrol akses ke sumber daya seperti Application Load Balancer berdasarkan alamat IP atau kondisi lainnya.
waf_client.associate_web_acl Mengaitkan WebACL dengan sumber daya AWS tertentu, seperti Application Load Balancer. Ini menghubungkan aturan akses yang ditentukan ke sumber daya untuk penegakan hukum.
ec2.authorize_security_group_ingress Menambahkan aturan baru ke aturan masuk (lalu lintas masuk) grup keamanan di AWS EC2. Perintah ini menentukan rentang IP yang diperbolehkan dan protokol untuk mengakses sumber daya terkait.
requests.get Mengambil data dari URL tertentu. Dalam konteks ini, ia mengambil data JSON yang berisi rentang IP AWS untuk mengonfigurasi aturan grup keamanan secara dinamis.
patch Dekorator dari pustaka unittest.mock Python digunakan untuk mengganti objek nyata dalam kode dengan objek tiruan selama pengujian. Hal ini memastikan pengujian berjalan secara terpisah tanpa membuat panggilan API AWS yang sebenarnya.
VisibilityConfig Parameter dalam proses pembuatan WAF WebACL. Ini mengonfigurasi opsi untuk pemantauan dan metrik, seperti mengaktifkan metrik CloudWatch dan permintaan pengambilan sampel.
IPSetReferenceStatement Digunakan dalam aturan WAF untuk mereferensikan IPSet yang telah ditentukan sebelumnya. Ini membantu menentukan alamat atau rentang IP mana yang diizinkan atau diblokir berdasarkan konfigurasi aturan.
unittest.TestCase Bagian dari perpustakaan Python yang paling unittest. Ini adalah kelas dasar untuk membuat pengujian unit baru, memungkinkan pengujian terstruktur pada setiap bagian kode.
SampledRequestsEnabled Pengaturan dalam aturan WAF yang memungkinkan pengambilan sampel permintaan yang cocok dengan aturan untuk dianalisis. Hal ini membantu dalam proses debug dan mengoptimalkan konfigurasi aturan.
DefaultAction Menentukan tindakan (misalnya, Izinkan atau Blokir) yang harus diambil ketika permintaan tidak sesuai dengan aturan apa pun di WebACL. Hal ini memastikan perilaku fallback untuk lalu lintas yang tidak cocok.

Strategi untuk Mengamankan Micro-Frontends dengan AWS

Skrip pertama memanfaatkan kemampuan AWS Web Application Firewall (WAF) untuk menerapkan kebijakan akses yang berbeda untuk dua mikro-frontend. Dengan membuat WebACL, aturan IP spesifik diterapkan ke FE-A untuk mengizinkan hanya lalu lintas dari lokasi yang ditentukan IP statis, memastikan sistemnya tetap tertutup. Untuk FE-B, ada aturan tersendiri yang memperbolehkan akses publik. Pendekatan ini memusatkan kontrol akses pada lapisan aplikasi, sehingga ideal untuk mengelola lalu lintas secara efisien tanpa mengubah kelompok keamanan EC2 yang mendasarinya. Misalnya, Anda dapat membatasi FE-A pada jaringan kantor sambil mengizinkan FE-B tetap dapat diakses secara global, demi keamanan perusahaan dan kenyamanan pengguna. 🌍

WebACL kemudian dikaitkan dengan Application Load Balancer (ALB), memastikan bahwa semua lalu lintas yang melewati ALB difilter sesuai dengan aturan ini. Perintah waf_client.create_web_acl sangat penting dalam mendefinisikan aturan, sementara itu waf_client.associate_web_acl menautkan WebACL ke sumber daya. Penyiapan ini sangat skalabel dan memungkinkan penyesuaian di masa mendatang, seperti menambahkan IP baru atau mengubah kebijakan akses, dengan sedikit usaha. Fitur pemantauan seperti metrik CloudWatch juga dapat melacak efektivitas aturan, sehingga memberikan wawasan berharga tentang pola lalu lintas.

Sebaliknya, solusi berbasis Lambda secara dinamis memperbarui aturan grup keamanan EC2. Skrip ini mengambil rentang IP khusus untuk wilayah AWS Anda dan mengonfigurasinya sebagai aturan masuknya dalam grup keamanan. Fungsinya ec2.authorize_security_group_ingress menambah atau memperbarui rentang IP yang diizinkan, memungkinkan FE-B dapat diakses publik sambil mempertahankan kontrol ketat untuk FE-A. Pendekatan ini sangat berguna dalam lingkungan dengan persyaratan IP yang sering berubah, seperti pengaturan pengembangan berbasis cloud atau perpindahan kantor perusahaan. Misalnya, jika kantor cabang baru didirikan, Anda dapat secara otomatis menambahkan IP-nya ke daftar putih tanpa intervensi manual. 🏱

Fungsi Lambda, dikombinasikan dengan acara CloudWatch terjadwal, mengotomatiskan pembaruan ini setiap hari, sehingga mengurangi overhead administratif. Meskipun pendekatan ini menambah kompleksitas, pendekatan ini memberikan kontrol yang lebih baik terhadap lalu lintas. Pengujian unit yang disertakan dalam skrip memvalidasi fungsionalitas, memastikan aturan keamanan diterapkan dengan benar tanpa menimbulkan kesalahan. Baik Anda memilih WAF atau Lambda, kedua metode ini memprioritaskan efisiensi biaya dan fleksibilitas, menyeimbangkan kebutuhan akan akses publik dan terbatas. Pada akhirnya, solusi ini menunjukkan keserbagunaan AWS dalam memenuhi beragam persyaratan sekaligus menjaga keamanan yang kuat. 🔒

Mengamankan AWS Backend untuk Dua Micro-Frontend dengan Persyaratan Akses Berbeda

Pendekatan 1: Menggunakan AWS WAF (Web Application Firewall) dan Grup Keamanan untuk Kontrol Akses

# Step 1: Define IP restrictions in AWS WAF
# Create a WebACL to allow only specific IP ranges for FE-A and public access for FE-B.
import boto3
waf_client = boto3.client('wafv2')
response = waf_client.create_web_acl(    Name='MicroFrontendAccessControl',    Scope='REGIONAL',    DefaultAction={'Allow': {}},    Rules=[        {            'Name': 'AllowSpecificIPForFEA',            'Priority': 1,            'Action': {'Allow': {}},            'Statement': {                'IPSetReferenceStatement': {                    'ARN': 'arn:aws:wafv2:region:account-id:ipset/ipset-id'                }            },            'VisibilityConfig': {                'SampledRequestsEnabled': True,                'CloudWatchMetricsEnabled': True,                'MetricName': 'AllowSpecificIPForFEA'            }        },        {            'Name': 'AllowPublicAccessForFEB',            'Priority': 2,            'Action': {'Allow': {}},            'Statement': {'IPSetReferenceStatement': {'ARN': 'arn:aws:wafv2:region:account-id:ipset/ipset-id-for-public'}},            'VisibilityConfig': {                'SampledRequestsEnabled': True,                'CloudWatchMetricsEnabled': True,                'MetricName': 'AllowPublicAccessForFEB'            }        }    ],    VisibilityConfig={        'SampledRequestsEnabled': True,        'CloudWatchMetricsEnabled': True,        'MetricName': 'MicroFrontendAccessControl'    })
print("WebACL created:", response)
# Step 2: Associate the WebACL with your Application Load Balancer
response = waf_client.associate_web_acl(    WebACLArn='arn:aws:wafv2:region:account-id:webacl/webacl-id',    ResourceArn='arn:aws:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name')
print("WebACL associated with Load Balancer:", response)

Mengamankan Akses Menggunakan Fungsi Lambda untuk Pembaruan Dinamis

Pendekatan 2: Fungsi Lambda untuk Memperbarui Grup Keamanan Secara Dinamis

# Import required modules
import boto3
import requests
# Step 1: Fetch public IP ranges for your region
def get_ip_ranges(region):
    response = requests.get("https://ip-ranges.amazonaws.com/ip-ranges.json")
    ip_ranges = response.json()["prefixes"]
    return [prefix["ip_prefix"] for prefix in ip_ranges if prefix["region"] == region]
# Step 2: Update the security group
def update_security_group(security_group_id, ip_ranges):
    ec2 = boto3.client('ec2')
    permissions = [{"IpProtocol": "tcp", "FromPort": 80, "ToPort": 80, "IpRanges": [{"CidrIp": ip} for ip in ip_ranges]}]
    ec2.authorize_security_group_ingress(GroupId=security_group_id, IpPermissions=permissions)
# Step 3: Lambda handler
def lambda_handler(event, context):
    region = "us-west-2"
    security_group_id = "sg-0123456789abcdef0"
    ip_ranges = get_ip_ranges(region)
    update_security_group(security_group_id, ip_ranges)
    return {"statusCode": 200, "body": "Security group updated successfully"}

Memvalidasi Konfigurasi Menggunakan Tes Unit

Pendekatan 3: Menambahkan Tes Unit untuk Fungsi Lambda dan Konfigurasi WebACL

import unittest
from unittest.mock import patch
class TestSecurityConfigurations(unittest.TestCase):
    @patch("boto3.client")
    def test_update_security_group(self, mock_boto3):
        mock_ec2 = mock_boto3.return_value
        ip_ranges = ["192.168.0.0/24", "203.0.113.0/24"]
        update_security_group("sg-0123456789abcdef0", ip_ranges)
        mock_ec2.authorize_security_group_ingress.assert_called()
    def test_get_ip_ranges(self):
        region = "us-west-2"
        ip_ranges = get_ip_ranges(region)
        self.assertIsInstance(ip_ranges, list)
if __name__ == "__main__":
    unittest.main()

Mengoptimalkan Keamanan dan Aksesibilitas untuk Aplikasi Micro-Frontend di AWS

Cara efektif lainnya untuk mengatasi tantangan menyeimbangkan akses terbatas dan akses publik dalam arsitektur mikro-frontend Anda adalah dengan memanfaatkan fitur terintegrasi AWS Amplify. Amplify menyederhanakan hosting dan penerapan sekaligus menyediakan alat untuk mengonfigurasi API backend dengan aman. Untuk FE-A, Anda dapat menerapkan kontrol akses jaringan dengan membatasi titik akhir API backendnya ke IP tertentu menggunakan AWS API Gateway. Penyiapan ini memastikan bahwa hanya IP statis yang telah ditentukan sebelumnya yang dapat berinteraksi dengan backend, sementara titik akhir FE-B tetap tidak dibatasi untuk akses publik. Hal ini tidak hanya meningkatkan keamanan tetapi juga terintegrasi secara mulus dengan alur kerja CI/CD Amplify. 🌐

Pertimbangan lainnya adalah menggunakan Amazon CloudFront dengan kebijakan akses asal kustom. CloudFront dapat merutekan lalu lintas ke backend yang sesuai berdasarkan jalur URL, berfungsi sebagai penjaga gerbang untuk mikro-frontend Anda. Lalu lintas FE-A dapat disaring melalui CloudFront menggunakan kebijakan permintaan asal yang memeriksa pembatasan IP atau header tertentu. Misalnya, perusahaan yang menerapkan alat internal melalui FE-A dapat menambahkan filter rentang IP sekaligus membuat FE-B tersedia secara global bagi pengguna akhir. Pendekatan ini mengoptimalkan skalabilitas dan kinerja, khususnya untuk aplikasi yang memerlukan distribusi global. 🚀

Terakhir, penerapan AWS Cognito untuk autentikasi pengguna menambahkan lapisan keamanan tambahan. FE-A dapat dikunci di balik sistem login yang memerlukan otentikasi pengguna dengan peran atau grup tertentu, sedangkan FE-B dapat menggunakan mekanisme otentikasi yang lebih ringan atau tidak sama sekali untuk akses publik. Dengan menggabungkan autentikasi dan pembatasan akses jaringan, Anda mencapai model keamanan tangguh yang disesuaikan dengan kebutuhan setiap mikro-frontend. Strategi ini sangat efektif bagi startup dan UKM yang mencari solusi cloud yang terjangkau, terukur, dan aman. 🔐

Pertanyaan Umum Tentang Mengamankan Arsitektur AWS Micro-Frontend

  1. Bagaimana cara membatasi akses ke titik akhir API untuk IP tertentu?
  2. Menggunakan API Gateway resource policies untuk menentukan rentang IP yang diizinkan untuk titik akhir Anda.
  3. Apa cara terbaik untuk memastikan ketersediaan global untuk frontend?
  4. Terapkan menggunakan AWS Amplify dengan Amazon CloudFront sebagai jaringan pengiriman konten.
  5. Bisakah saya mengotomatiskan pembaruan IP untuk lingkungan dinamis?
  6. Ya, gunakan a Lambda function untuk mengambil dan memperbarui rentang IP secara dinamis dalam grup keamanan atau aturan WAF.
  7. Mungkinkah mengamankan FE-A tanpa mempengaruhi akses publik FE-B?
  8. Menggabungkan WAF aturan untuk FE-A dan pengaturan grup keamanan tidak terbatas untuk FE-B.
  9. Bagaimana AWS Cognito meningkatkan keamanan mikro-frontend?
  10. AWS Cognito mengelola autentikasi pengguna dan mengizinkan akses berbasis peran untuk frontend tertentu.

Solusi Efektif untuk Akses Micro-Frontend yang Aman

Mengamankan backend untuk mikro-frontend memerlukan pendekatan yang disesuaikan. AWS menawarkan beberapa alat seperti WAF, API Gateway, dan CloudFront, yang dapat membantu mengelola lalu lintas secara efektif. Konfigurasi seperti pemfilteran IP untuk FE-A dan akses terbuka untuk FE-B sangat penting untuk menyeimbangkan aksesibilitas dan keamanan. Alat-alat ini membuat prosesnya lancar dan dapat diandalkan. 🔐

Penggunaan metode otomatis, seperti fungsi Lambda untuk manajemen IP dinamis, menambah fleksibilitas sekaligus menjaga biaya tetap terkendali. Menggabungkan keamanan tingkat jaringan dengan langkah-langkah lapisan aplikasi memastikan solusi tangguh yang cocok untuk semua ukuran bisnis. Hal ini memungkinkan Anda mencapai keamanan backend yang optimal tanpa mengorbankan pengalaman pengguna. 🌟

Referensi dan Sumber Daya untuk Keamanan Backend AWS
  1. Pelajari lebih lanjut tentang AWS Web Application Firewall (WAF) dengan mengunjungi dokumentasi resmi AWS: AWSWAF .
  2. Jelajahi cara mengonfigurasi kebijakan sumber daya API Gateway untuk pemfilteran IP dalam panduan AWS: Kebijakan Sumber Daya API Gateway .
  3. Pahami kemampuan Amazon CloudFront untuk pengiriman konten yang aman di: Amazon CloudFront .
  4. Temukan cara mengotomatiskan pembaruan IP menggunakan Lambda dalam dokumentasi AWS Lambda: AWS Lambda .
  5. Untuk informasi lebih lanjut tentang mengamankan instans EC2 dengan grup keamanan, lihat: Grup Keamanan EC2 .