Теперь можно ссылаться на Security Group из другой VPC не только подключённую через VPC Peering, но и через Transit Gateway:

https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-security-group-referencing-for-aws-transit-gateway/

Для этого потребуется указать опцию. Security Group Referencing support при создании TGW или модифицировать имеющийся.

https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpc-attachments.html#vpc-attachment-security

⚠️ Также, как и для VPC Peering — работает лишь в том же AWS Region.

⚠️ Не сработает, если между VPC будет подключен AWS Network Firewall.

P.S. Закрыт ещё один гештальт длиной в шесть лет.

#SecurityGroup #VPC #TransitGateway

🆕 Shared Security Group 🎉

https://docs.aws.amazon.com/vpc/latest/userguide/security-group-sharing.html

Что ж, свершилось. С момента появления Shared VPC 6 лет назад, это первое, чего хотелось бы иметь в комплекте.

Как круто было пошарить VPC сразу на многие аккаунты! Но каждый раз нужно было решать проблему с Security Groups, которые при этом не шарились. Приходилось писать костыли, создающие Security Groups в каждом аккаунте вручную.

Топил за #Shared_VPC все эти годы, теперь же вместе с Shared Security Group это вообще круто. Шаринг VPC уже давно стал best practices, а вместе с шарингом Transit Gateway это вообще ключевые элементы для построения современной сетевой архитектуры в AWS.

#SecurityGroup #VPC #RAM

VPC Block Public Access или Security Groups для ваших Security Groups

https://aws.amazon.com/blogs/networking-and-content-delivery/vpc-block-public-access/

Ещё один firewall для ваших firewall-ов, который работает на уровне выше, чем отдельная VPC - на уровне AWS аккаунта (вскоре это можно будет раскатывать сразу на всю организацию, но пока лишь на уровне аккаунта в одном регионе).

Желание адекватное — а сделайте нам выключатель, чтобы можно было оптом запретить внешний доступ сразу везде, а не бороздить просторы аккаунта в поисках ресурсов с Security Groups, разрешающих внешний доступ (равно как и запрет врагам и наивным разработчикам такое себе создать).

Теперь можно включить VPC Block Public Access и наличие открытого доступа в интернет, равно как и публичный айпишник, не помогут.

С другой стороны, это дополнительное усложнение сетевой части, ещё уровень абстракции, теперь нужно будет помнить не только про когда-то тобою же предательски настроенные NACL, но ещё и что из-за требований Security Hub был включен VPC Block Public Access. А тебе тут по-быстрому нужно что-то проверить-отладить.

В общем, безопасность продолжает наступать, поднимая сложность на новый уровень.

P.S. Опять обновлять примерно все базовые курсы по AWS. 😁

#VPC

Использование Shared VPC подхода на примере Swisscom

https://aws.amazon.com/blogs/industries/automated-networking-with-shared-vpcs-at-swisscom/

#VPC #SharedVPC

VPC + BGP = VPC Route Server with dynamic routing inside VPC

https://docs.aws.amazon.com/vpc/latest/userguide/dynamic-routing-route-server.html

You can now dynamically update VPC and internet gateway route tables with your IPv4 or IPv6 routes.

Features include:
- Automatically update route tables with routes learned from BGP peers
- Propagation of the best available routes based on BGP attributes
- Dynamically update routes when network conditions change
- Failure endpoints using BFD

There are still some gaps like the support for route tables associated with virtual private gateways or propagation of routes into a transit gateway route table.

#VPC

Resource Groups + PrivateLink

You can use PrivateLink to create a private connection between your VPC and Resource Groups.

https://docs.aws.amazon.com/ARG/latest/userguide/vpc-interface-endpoints.html

You can access Resource Groups as if it were in your VPC, without the use of an internet gateway, NAT device, VPN connection, or Direct Connect.

Instances in your VPC don't need public IP addresses to access Resource Groups.

#ResourceGroup #VPC #PrivateLink