VPC Flow Logs là gì

VPC Flow Logs cho phép bạn thu thập thông tin về lưu lượng IP vào và ra từ:

• VPC
• Subnet
• Network Interface (ENI)

Tính năng

• Ghi nhận các thông tin như nguồn, đích, cổng, protocol, trạng thái “ACEPT” hoặc “REJECT”.
• Lưu trữ ở CloudWatch Logs hoặc S3.
• Hỗ trợ phân tích bảo mật, điều tra sự cố hoặc tối ưu cấu hình mạng.

Syntax của Flow Logs

Traffic Mirroring là gì

Traffic Mirroring là tính năng sao chép (mirror) toàn bộ lưu lượng mạng từ một Elastic Network Interface (ENI) đến một ENI khác để phân tích chuyên sâu.

Tính năng

• Hữu ích cho giám sát bảo mật, phân tích sự cố hoặc debug ứng dụng.
• Hỗ trợ lọc lưu lượng (theo port, protocol, IP) trước khi mirror.
• Thường dùng với các công cụ IDS/IPS hoặc packet analysis như Wireshark, Suricata.

Bastion Host là gì

Bastion Host là một EC2 instance được đặt trong Public Subnet, đóng vai trò cổng SSH an toàn để truy cập các EC2 instance trong Private Subnet.

Cách hoạt động

• Người dùng kết nối SSH tới Bastion Host từ Internet.
• Bastion Host kết nối tới các EC2 trong private subnet qua private IP.
• Giúp hạn chế việc mở port SSH trực tiếp ra Internet.

IPv6 trong VPC

Đặc điểm

• IPv6 là địa chỉ public mặc định (không cần NAT).
• Hỗ trợ dual-stack (vừa IPv4 vừa IPv6).
• Cần thiết cho các ứng dụng cần khả năng mở rộng địa chỉ hoặc yêu cầu từ khách hàng/government.
• Format y:y:y:y:y:y:y:y (y có range từ 0000 -> ffff)

Lưu ý bảo mật

• Do IPv6 là public by default, cần cấu hình Security Group và Network ACL chặt chẽ.

Egress-Only Internet Gateway

Egress-Only Internet Gateway (EOIGW) là thành phần cho phép chỉ outbound traffic từ IPv6 instances ra Internet, nhưng không cho inbound traffic từ Internet vào.

Khi nào dùng?

• Khi muốn instances IPv6 trong private subnet chỉ truy cập Internet ra ngoài (ví dụ cập nhật phần mềm) mà không cho phép kết nối từ Internet vào.

So sánh với NAT Gateway