VPC, Subnets, Security Groups
Einführung in Cloud-Netzwerkgrundlagen =
1. Virtual Private Cloud (VPC)[Bearbeiten]
Eine Virtual Private Cloud (VPC) ist ein privater, isolierter Bereich innerhalb einer öffentlichen Cloud-Plattform (wie AWS, Google Cloud oder Azure). Man kann sie sich als ein virtuelles Rechenzentrum vorstellen, das die vollständige Kontrolle über die Netzwerkumgebung ermöglicht.
Kernmerkmale einer VPC[Bearbeiten]
Isolierung: Standardmäßig ist der Datenverkehr innerhalb einer VPC komplett vom Internet und anderen Kunden getrennt.
IP-Adressbereich: Beim Erstellen einer VPC wird ein privater IP-Adressbereich mittels eines CIDR-Blocks (Classless Inter-Domain Routing) definiert, z. B. 10.0.0.0/16.
Anpassbarkeit: Sie bestimmen das Routing, die Gateways und die Sicherheitsmechanismen.
Warum ist eine VPC wichtig?[Bearbeiten]
Ohne eine VPC würden Cloud-Ressourcen ohne logische Trennung nebeneinander existieren. Die VPC bildet das Fundament, auf dem alle anderen Dienste (Datenbanken, Server, Load Balancer) sicher kommunizieren können.
2. Subnets (Subnetze)[Bearbeiten]
Ein Subnet ist eine Unterteilung des IP-Adressbereichs einer VPC. Während die VPC das gesamte Netzwerk darstellt, sind Subnets die "Räume" innerhalb dieses Gebäudes, in denen die Ressourcen leben.
Arten von Subnets[Bearbeiten]
Es wird primär zwischen zwei Typen unterschieden:
Public Subnets (Öffentliche Subnetze): Besitzen eine Route zu einem Internet Gateway (IGW). Ressourcen hier (z. B. Webserver) sind direkt aus dem Internet erreichbar. Private Subnets (Private Subnetze): Haben keine direkte Route zum Internet. Sie werden für sensible Daten wie Datenbanken oder Backend-Logik genutzt.
Logische Trennung (Beispiel)[Bearbeiten]
| Komponente | Subnet-Typ | Zweck |
|---|---|---|
| Web-Frontend | Public | Erreichbarkeit für Nutzer |
| Applikations-Server | Private | Verarbeitung der Geschäftslogik |
| Datenbank | Private | Höchster Schutz der Daten |
3. Security Groups (Sicherheitsgruppen)[Bearbeiten]
Security Groups agieren als virtuelle Firewalls auf Ebene der einzelnen Instanz (z. B. eine virtuelle Maschine). Sie kontrollieren, welcher Datenverkehr ein- und ausgehen darf.
Funktionsweise[Bearbeiten]
Stateful (Zustandsbehaftet): Wenn Sie eine eingehende Anfrage erlauben, wird die Antwort automatisch erlaubt, unabhängig von den ausgehenden Regeln.
Whitelist-Prinzip: Standardmäßig ist jeglicher eingehende Verkehr verboten. Sie müssen explizit Regeln hinzufügen, um Zugriff zu gewähren.
Wichtige Parameter einer Regel[Bearbeiten]
Protokoll: z. B. TCP, UDP oder ICMP.
Port-Bereich: z. B. 80 (HTTP), 443 (HTTPS) oder 22 (SSH).
Quelle/Ziel: Dies kann eine IP-Adresse, ein CIDR-Block oder eine andere Security Group sein.
Beispiel-Konfiguration[Bearbeiten]
Für einen Webserver würde eine typische Security Group so aussehen:
Inbound: Erlaube Port 80 (HTTP) von 0.0.0.0/0 (überall).
Outbound: Erlaube allen Verkehr zu jedem Ziel (um Updates zu laden).
Zusammenfassung des Zusammenspiels[Bearbeiten]
Die Sicherheit in der Cloud folgt dem Prinzip der Defense in Depth (gestaffelte Verteidigung):
Die VPC isoliert das gesamte Unternehmen nach außen. Subnets organisieren die Ressourcen nach ihrer Funktion und Erreichbarkeit. Security Groups schützen jede einzelne Instanz individuell vor unbefugten Zugriffen.
