Kā aizsargāt divus mikropriekšpuses ar atšķirīgām piekļuves vajadzībām AWS aizmugursistēmā

Temp mail SuperHeros
Kā aizsargāt divus mikropriekšpuses ar atšķirīgām piekļuves vajadzībām AWS aizmugursistēmā
Kā aizsargāt divus mikropriekšpuses ar atšķirīgām piekļuves vajadzībām AWS aizmugursistēmā
Mia Chevalier
Sestdiena, 2024. gada 28. decembris 20:33:39

Drošības un pieejamības līdzsvarošana AWS mikropriekšējā arhitektūrā

Drošu un mērogojamu mākoņu arhitektūru projektēšana bieži vien ir saistīta ar pieejamības un ierobežotas piekļuves līdzsvarošanu. AWS iestatījumos jums ir divas mikropriekšgaldas ar unikālām piekļuves prasībām. FE-A ir jāierobežo ar noteiktu statisku IP, savukārt FE-B jābūt publiski pieejamam. Šo vajadzību vienlaicīga risināšana var radīt izaicinājumu. 😅

Izaicinājums rodas, konfigurējot drošības grupas EC2. Ja atļausiet piekļuvi 0.0.0.0, abas saskarnes kļūst publiski pieejamas, tādējādi apdraudot FE-A drošību. No otras puses, piekļuves ierobežošana vienam statiskam IP liedz FE-B publisku pieejamību. Tas rada sarežģītu līdzsvaru starp atklātību un drošību.

Lai gan Lambda funkcija dinamiskai IP diapazonu atjaunināšanai varētu šķist dzīvotspējīga, tā rada papildu izmaksas un nav optimāls ilgtermiņa risinājums. Piemēram, laika gaitā tas var palielināt izmaksas un sarežģītību. Turklāt biežu drošības grupu atjauninājumu pārvaldība var būt apgrūtinoša un ar kļūdu iespējamību.

Ir ļoti svarīgi atrast rentablu risinājumu, kas atbilst šīm prasībām. Mērķis ir aizsargāt FE-A, vienlaikus nodrošinot, ka FE-B joprojām ir pieejams visā pasaulē, neradot nevajadzīgas sarežģītības. Izpētīsim, kā to panākt, izmantojot AWS paraugpraksi. 🚀

Komanda Lietošanas piemērs
waf_client.create_web_acl Šī komanda tiek izmantota, lai izveidotu tīmekļa lietojumprogrammu ugunsmūra (WAF) WebACL pakalpojumā AWS. Tas palīdz definēt noteikumus un darbības, lai kontrolētu piekļuvi resursiem, piemēram, lietojumprogrammu slodzes līdzsvarotājiem, pamatojoties uz IP adresēm vai citiem nosacījumiem.
waf_client.associate_web_acl Saista WebACL ar noteiktu AWS resursu, piemēram, lietojumprogrammu slodzes līdzsvarotāju. Tas saista definētos piekļuves noteikumus ar izpildes resursu.
ec2.authorize_security_group_ingress Pievieno jaunu kārtulu AWS EC2 drošības grupas ieejas (ienākošās satiksmes) kārtulām. Šī komanda definē atļautos IP diapazonus un protokolus, lai piekļūtu saistītajiem resursiem.
requests.get Iegūst datus no norādītā URL. Šajā kontekstā tas izgūst JSON datus, kas satur AWS IP diapazonus, lai dinamiski konfigurētu drošības grupas noteikumus.
patch Dekorators no Python bibliotēkas unittest.mock, ko testēšanas laikā izmantoja, lai kodā aizstātu reālus objektus ar imitētiem objektiem. Tas nodrošina, ka testi tiek veikti atsevišķi, neveicot reālus AWS API izsaukumus.
VisibilityConfig Parametrs WAF WebACL izveides procesā. Tas konfigurē pārraudzības un metrikas opcijas, piemēram, CloudWatch metrikas iespējošanu un iztveršanas pieprasījumus.
IPSetReferenceStatement Izmanto WAF noteikumos, lai atsauktos uz iepriekš definētu IPSet. Tas palīdz norādīt, kuras IP adreses vai diapazoni ir atļauti vai bloķēti, pamatojoties uz kārtulas konfigurāciju.
unittest.TestCase Daļa no Python vienību pārbaudes bibliotēkas. Tā ir bāzes klase jaunu vienību testu izveidei, kas nodrošina atsevišķu koda daļu strukturētu testēšanu.
SampledRequestsEnabled Iestatījums WAF kārtulās, kas ļauj analizēt pieprasījumu paraugu, kas atbilst kārtulai. Tas palīdz atkļūdot un optimizēt kārtulu konfigurācijas.
DefaultAction Norāda darbību (piem., Atļaut vai Bloķēt), kas jāveic, ja pieprasījums neatbilst nevienam WebACL kārtulam. Tas nodrošina atkāpšanās darbību nepārspējamai datplūsmai.

Stratēģijas mikropriekšējo daļu nodrošināšanai ar AWS

Pirmais skripts izmanto AWS tīmekļa lietojumprogrammu ugunsmūra iespējas (WAF), lai ieviestu atšķirīgas piekļuves politikas divām mikropriekšgaldām. Izveidojot WebACL, FE-A tiek piemēroti īpaši IP noteikumi, lai atļautu trafiku tikai no norādītā statiskā IP, nodrošinot, ka tā paliek slēgta sistēma. Attiecībā uz FE-B publisku piekļuvi nodrošina atsevišķs noteikums. Šī pieeja centralizē piekļuves kontroli lietojumprogrammas līmenī, padarot to ideāli piemērotu efektīvai trafika pārvaldībai, nemainot pamatā esošās EC2 drošības grupas. Piemēram, jūs varat ierobežot FE-A ar biroja tīklu, vienlaikus ļaujot FE-B palikt globāli pieejams, rūpējoties gan par korporatīvo drošību, gan lietotāju ērtībām. 🌍

Pēc tam WebACL tiek saistīts ar lietojumprogrammu slodzes līdzsvarotāju (ALB), nodrošinot, ka visa trafika, kas iet caur ALB, tiek filtrēta saskaņā ar šiem noteikumiem. Komanda waf_client.create_web_acl ir galvenais noteikumu definēšanā waf_client.associate_web_acl saista WebACL ar resursu. Šī iestatīšana ir ļoti mērogojama, un tā ļauj veikt turpmākas korekcijas, piemēram, pievienot jaunus IP vai mainīt piekļuves politikas ar minimālu piepūli. Uzraudzības funkcijas, piemēram, CloudWatch metrika, var arī izsekot noteikumu efektivitātei, sniedzot vērtīgu ieskatu satiksmes modeļos.

Turpretim uz Lambda balstītais risinājums dinamiski atjaunina EC2 drošības grupas noteikumus. Šis skripts ienes jūsu AWS reģionam raksturīgos IP diapazonus un konfigurē tos kā ieejas noteikumus drošības grupā. Funkcija ec2.authorize_security_group_ingress pievieno vai atjaunina atļautos IP diapazonus, ļaujot FE-B būt publiski pieejamam, vienlaikus saglabājot stingru FE-A kontroli. Šī pieeja ir īpaši noderīga vidēs ar bieži mainīgām IP prasībām, piemēram, mākoņdatošanas izstrādes iestatījumos vai korporatīvo biroju maiņu. Piemēram, ja tiek izveidots jauns filiāles birojs, varat automātiski pievienot tās IP baltajam sarakstam bez manuālas iejaukšanās. 🏢

Lambda funkcija apvienojumā ar ieplānotu CloudWatch notikumu katru dienu automatizē šos atjauninājumus, samazinot administratīvos izdevumus. Lai gan šī pieeja palielina sarežģītību, tā nodrošina precīzu trafika kontroli. Skriptā iekļautie vienību testi apstiprina funkcionalitāti, nodrošinot drošības noteikumu pareizu piemērošanu, neradot kļūdas. Neatkarīgi no tā, vai izvēlaties WAF vai Lambda, abās metodēs prioritāte ir izmaksu efektivitāte un elastība, līdzsvarojot vajadzību pēc publiskas un ierobežotas piekļuves. Galu galā šie risinājumi parāda AWS daudzpusību, apmierinot dažādas prasības, vienlaikus saglabājot stabilu drošību. 🔒

AWS aizmugursistēmas nodrošināšana diviem mikrofrontiem ar atšķirīgām piekļuves prasībām

1. pieeja: AWS WAF (tīmekļa lietojumprogrammu ugunsmūra) un drošības grupu izmantošana piekļuves kontrolei

# Step 1: Define IP restrictions in AWS WAF
# Create a WebACL to allow only specific IP ranges for FE-A and public access for FE-B.
import boto3
waf_client = boto3.client('wafv2')
response = waf_client.create_web_acl(    Name='MicroFrontendAccessControl',    Scope='REGIONAL',    DefaultAction={'Allow': {}},    Rules=[        {            'Name': 'AllowSpecificIPForFEA',            'Priority': 1,            'Action': {'Allow': {}},            'Statement': {                'IPSetReferenceStatement': {                    'ARN': 'arn:aws:wafv2:region:account-id:ipset/ipset-id'                }            },            'VisibilityConfig': {                'SampledRequestsEnabled': True,                'CloudWatchMetricsEnabled': True,                'MetricName': 'AllowSpecificIPForFEA'            }        },        {            'Name': 'AllowPublicAccessForFEB',            'Priority': 2,            'Action': {'Allow': {}},            'Statement': {'IPSetReferenceStatement': {'ARN': 'arn:aws:wafv2:region:account-id:ipset/ipset-id-for-public'}},            'VisibilityConfig': {                'SampledRequestsEnabled': True,                'CloudWatchMetricsEnabled': True,                'MetricName': 'AllowPublicAccessForFEB'            }        }    ],    VisibilityConfig={        'SampledRequestsEnabled': True,        'CloudWatchMetricsEnabled': True,        'MetricName': 'MicroFrontendAccessControl'    })
print("WebACL created:", response)
# Step 2: Associate the WebACL with your Application Load Balancer
response = waf_client.associate_web_acl(    WebACLArn='arn:aws:wafv2:region:account-id:webacl/webacl-id',    ResourceArn='arn:aws:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name')
print("WebACL associated with Load Balancer:", response)

Piekļuves nodrošināšana, izmantojot Lambda funkciju dinamiskiem atjauninājumiem

2. pieeja: Lambda funkcija drošības grupu dinamiskai atjaunināšanai

# Import required modules
import boto3
import requests
# Step 1: Fetch public IP ranges for your region
def get_ip_ranges(region):
    response = requests.get("https://ip-ranges.amazonaws.com/ip-ranges.json")
    ip_ranges = response.json()["prefixes"]
    return [prefix["ip_prefix"] for prefix in ip_ranges if prefix["region"] == region]
# Step 2: Update the security group
def update_security_group(security_group_id, ip_ranges):
    ec2 = boto3.client('ec2')
    permissions = [{"IpProtocol": "tcp", "FromPort": 80, "ToPort": 80, "IpRanges": [{"CidrIp": ip} for ip in ip_ranges]}]
    ec2.authorize_security_group_ingress(GroupId=security_group_id, IpPermissions=permissions)
# Step 3: Lambda handler
def lambda_handler(event, context):
    region = "us-west-2"
    security_group_id = "sg-0123456789abcdef0"
    ip_ranges = get_ip_ranges(region)
    update_security_group(security_group_id, ip_ranges)
    return {"statusCode": 200, "body": "Security group updated successfully"}

Konfigurācijas apstiprināšana, izmantojot vienību testus

3. pieeja: vienību testu pievienošana lambda funkcijai un WebACL konfigurācijai

import unittest
from unittest.mock import patch
class TestSecurityConfigurations(unittest.TestCase):
    @patch("boto3.client")
    def test_update_security_group(self, mock_boto3):
        mock_ec2 = mock_boto3.return_value
        ip_ranges = ["192.168.0.0/24", "203.0.113.0/24"]
        update_security_group("sg-0123456789abcdef0", ip_ranges)
        mock_ec2.authorize_security_group_ingress.assert_called()
    def test_get_ip_ranges(self):
        region = "us-west-2"
        ip_ranges = get_ip_ranges(region)
        self.assertIsInstance(ip_ranges, list)
if __name__ == "__main__":
    unittest.main()

AWS mikropriekšējās lietojumprogrammu drošības un pieejamības optimizēšana

Vēl viens efektīvs veids, kā risināt problēmas, kas saistītas ar ierobežotas un publiskās piekļuves līdzsvarošanu jūsu mikropriekšgala arhitektūrā, ir AWS Amplify integrēto līdzekļu izmantošana. Amplify vienkāršo mitināšanu un izvietošanu, vienlaikus nodrošinot rīkus, lai droši konfigurētu aizmugursistēmas API. FE-A varat ieviest tīkla piekļuves kontroli, ierobežojot tā aizmugursistēmas API galapunktus līdz noteiktiem IP, izmantojot AWS API vārteju. Šī iestatīšana nodrošina, ka tikai iepriekš definētas statiskas IP var mijiedarboties ar aizmugursistēmu, savukārt FE-B galapunkti var palikt neierobežoti publiskai piekļuvei. Tas ne tikai uzlabo drošību, bet arī nemanāmi integrējas Amplify CI/CD darbplūsmās. 🌐

Vēl viens apsvērums ir Amazon CloudFront izmantošana ar pielāgotām izcelsmes piekļuves politikām. CloudFront var novirzīt trafiku uz atbilstošo aizmugursistēmu, pamatojoties uz URL ceļu, kalpojot kā vārteja jūsu mikropriekšgaldām. FE-A trafiku var filtrēt, izmantojot CloudFront, izmantojot izcelsmes pieprasījuma politiku, kas pārbauda IP ierobežojumus vai īpašas galvenes. Piemēram, uzņēmums, kas izvieto iekšējo rīku, izmantojot FE-A, var pievienot IP diapazona filtru, vienlaikus padarot FE-B globāli pieejamu galalietotājiem. Šī pieeja optimizē gan mērogojamību, gan veiktspēju, jo īpaši lietojumprogrammām, kurām nepieciešama globāla izplatīšana. 🚀

Visbeidzot, AWS Cognito ieviešana lietotāja autentifikācijai pievieno papildu drošības līmeni. FE-A var bloķēt aiz pieteikšanās sistēmas, kurai nepieciešama lietotāja autentifikācija ar noteiktām lomām vai grupām, savukārt FE-B publiskai piekļuvei var izmantot vieglāku autentifikācijas mehānismu vai to vispār neizmantot. Apvienojot autentifikācijas un tīkla piekļuves ierobežojumus, jūs iegūstat stabilu drošības modeli, kas pielāgots katras mikropriekšgala vajadzībām. Šī stratēģija ir īpaši efektīva jaunizveidotiem uzņēmumiem un MVU, kas meklē pieejamus, mērogojamus un drošus mākoņa risinājumus. 🔐

Bieži uzdotie jautājumi par AWS mikropriekšējās arhitektūras nodrošināšanu

  1. Kā ierobežot piekļuvi API galapunktam konkrētiem IP?
  2. Izmantot API Gateway resource policies lai definētu jūsu galapunktiem atļautos IP diapazonus.
  3. Kāds ir labākais veids, kā nodrošināt priekšgala globālo pieejamību?
  4. Izvietojiet to, izmantojot AWS Amplify ar Amazon CloudFront kā satura piegādes tīklu.
  5. Vai es varu automatizēt IP atjauninājumus dinamiskām vidēm?
  6. Jā, izmantojiet a Lambda function lai dinamiski ielādētu un atjauninātu IP diapazonus drošības grupā vai WAF kārtulā.
  7. Vai ir iespējams nodrošināt FE-A, neietekmējot FE-B publisko piekļuvi?
  8. Apvienot WAF noteikumi FE-A un neierobežoti drošības grupas iestatījumi FE-B.
  9. Kā AWS Cognito uzlabo mikropriekšgala drošību?
  10. AWS Cognito pārvalda lietotāju autentifikāciju un nodrošina uz lomām balstītu piekļuvi noteiktām priekšgaldām.

Efektīvi risinājumi drošai mikropriekšējai piekļuvei

Lai nodrošinātu mikropriekšgaldu aizmugursistēmas, ir nepieciešama pielāgota pieeja. AWS piedāvā vairākus rīkus, piemēram, WAF, API Gateway un CloudFront, kas var palīdzēt efektīvi pārvaldīt trafiku. Tādas konfigurācijas kā IP filtrēšana FE-A un atvērta piekļuve FE-B ir ļoti svarīgas, lai līdzsvarotu pieejamību un drošību. Šie rīki padara procesu vienmērīgu un uzticamu. 🔐

Izmantojot automatizētas metodes, piemēram, Lambda funkcijas dinamiskai IP pārvaldībai, tiek nodrošināta papildu elastība, vienlaikus kontrolējot izmaksas. Apvienojot tīkla līmeņa drošību ar lietojumprogrammas līmeņa pasākumiem, tiek nodrošināts stabils risinājums, kas piemērots jebkura lieluma uzņēmumiem. Tas ļauj sasniegt optimizētu aizmugursistēmas drošību, neapdraudot lietotāja pieredzi. 🌟

Atsauces un resursi AWS aizmugursistēmas drošībai
  1. Uzziniet vairāk par AWS tīmekļa lietojumprogrammu ugunsmūri (WAF), apmeklējot oficiālo AWS dokumentāciju: AWS WAF .
  2. AWS rokasgrāmatā izpētiet, kā konfigurēt API vārtejas resursu politikas IP filtrēšanai: API vārtejas resursu politikas .
  3. Izprotiet Amazon CloudFront iespējas drošai satura piegādei vietnē: Amazon CloudFront .
  4. Uzziniet, kā automatizēt IP atjauninājumus, izmantojot Lambda, AWS Lambda dokumentācijā: AWS Lambda .
  5. Lai iegūtu papildinformāciju par EC2 gadījumu nodrošināšanu ar drošības grupām, skatiet: EC2 drošības grupas .