VPC (Virtual Private Clouds, Nuvens Privadas Virtuais)

Há muitos conceitos que você precisa dominar no início da sua carreira em DevOps. Alguns são endêmicos de uma única nuvem ou provedor de serviços; outros, assim como o tópico deste artigo, se estendem universalmente por todo o setor.

Esta publicação discutirá nuvens privadas virtuais, ou VPCs — o que são, como funcionam e por que são um elemento essencial da infraestrutura de nuvem atual.

Noções básicas de VPCs

O que exatamente é uma VPC? Se você já viu um filme com uma tomada típica de câmera de um cofre de banco, geralmente há uma grande sala segura com muitos cofres separados.

Uma VPC é um compartimento único dentro de toda a nuvem pública de um determinado provedor, essencialmente um cofre dentro do cofre do banco. O cofre em si é público, com muitos clientes do banco acessando-o de tempos em tempos; eles podem até ter caixas no mesmo cofre que você. Mas para eles, sua gaveta é intocável, ou até mesmo invisível; somente você tem a chave para abri-la, o que significa que ninguém mais pode acessá-la, a menos que você deseje.

É claro que, com uma VPC, o “banco” — AWS, Google Cloud ou Azure — fica longe, mantido por uma horda literal de engenheiros, e as caixas são separadas não por aço reforçado, mas por funcionalidades lógicas.

Na AWS e no GCP, a VPC é chamada de VPC; no Azure, na verdade é chamado de VNet (Azure Virtual Network); todos eles implementam funcionalidades e medidas de segurança semelhantes.

Características e isolamento

Uma VPC fornece um local para implementar serviços e ofertas de nuvem pública com controle de acesso rigoroso. Ela pode cobrir diversas regiões e suas zonas de disponibilidade, permitindo que você implemente a infraestrutura mais perto de seus clientes ou proteja-se contra uma falha em um único local.

O assunto do isolamento surge com bastante frequência, e isso porque, na verdade, é a funcionalidade mais importante de todas. Seus dados são separados dos dados de outros clientes. O que você decidir isolar fica isolado do exterior, e o acesso aos recursos implementados pode ser facilmente mantido apenas para aqueles que você designar.

Os mecanismos de isolamento mais comumente usados são sub-redes públicas/privadas, grupos de segurança e listas de controle de acesso, sobre os quais falaremos a seguir.

Os benefícios

Como a escolha de uma VPC em vez da nuvem pública beneficia você? Há muito de bom que você pode extrair de ser uma entidade separada governada por suas regras, mas também uma parte do "quadro geral", protegida pelo provedor de nuvem escolhido.

Como sempre, a segurança vem em primeiro lugar. Você tem acesso a muitas soluções que esperaria de uma nuvem pública tradicional, mas com muito mais flexibilidade. Ferramentas de observabilidade adicionais, controle de acesso granular e a infinidade de salvaguardas e mecanismos integrados ao próprio conceito contribuem muito para a segurança e privacidade de sua infraestrutura e dados.

Outro benefício é que as VPCs são muito mais baratas do que uma nuvem privada tradicional, mas elas oferecem muitas funcionalidades pelos quais você teria que pagar muito.

Os recursos disponíveis para implementação dentro de uma VPC são as ofertas usuais da nuvem pública, então, por extensão, assim como nas nuvens públicas, você pode expandir as coisas de forma fácil e barata.

Configuração — ACLs de rede, grupos de segurança e sub-redes

Configurar corretamente o acesso à sua VPC depende inteiramente de você, pois manter o isolamento dos dados é fundamental. Isso significa que você tem que acertar sempre. Esses mecanismos ajudarão você a fazer isso.

Sub-redes

Sub-redes são a maneira mais tradicional de separar objetos de rede. Se você já configurou um roteador em casa ou trabalhou com qualquer tipo de rede, você definitivamente já se deparou com isso. Em essência, é um bloco de endereços IP que você pode alocar aos seus recursos. Ele é derivado do pool de rede principal do seu VPC, uma espécie de situação de “fatia de uma fatia”.

Existem dois tipos típicos de sub-redes: privada e pública. Uma sub-rede privada é isolada da Internet, a menos que você provisione um dispositivo NAT para atuar como uma espécie de “tradutor”.

Uma sub-rede pública pode acessar a Web, geralmente com a ajuda de um gateway de Internet que atua como uma válvula de entrada/saída. O gateway fornece um endereço IP que pode ser acessado externamente, fornecendo um ponto ao qual você pode se conectar.

Uma sub-rede pública, acessível pela Web, e uma privada, que você não pode acessar de fora.

ACLs de rede

Uma ACL de rede é uma parte adicional da lógica da sub-rede; ele atua como um livro-razão ordenado de regras sobre qual tipo de tráfego pode entrar/sair, por qual porta e até mesmo de onde/para onde. Veja o exemplo a seguir:

Um cenário típico de ACLs de sub-rede na prática. A solicitação de antecipação será bem-sucedida; o tempo limite do caminho certo será excedido.

Algo que você deve sempre ficar de olho é a ordem dessas regras. Eles são processados dos números menores para os maiores e, se uma correspondência for encontrada, ela será aplicada independentemente de qualquer coisa que uma regra com um número maior possa dizer. Isso é muito fácil de ignorar, e até mesmo um pequeno erro pode causar um vazamento.

Grupos de segurança

Os grupos de segurança adotam uma abordagem diferente; em vez de controlar certas sub-redes, eles operam em recursos como instâncias. Ao contrário das ACLs de rede, você não pode criar explicitamente uma regra de “negação”; grupos de segurança consideram qualquer coisa que não seja definida como permitida como proibida por padrão. Você também não precisa permitir explicitamente o tráfego de resposta; se algo flui para dentro, a resposta pode fluir para fora.

A ordem das regras especificadas para um grupo de segurança também não importa; todo o conjunto de regras é avaliado quando o tráfego chega. Você pode anexar vários grupos de segurança a um recurso e (pelo menos com a AWS) se não o fizer, o padrão será anexado automaticamente para você.

Exemplo de regras de grupo de segurança controlando o acesso a um conjunto de recursos.

Felizmente, a questão de qual método de controle de acesso você deve usar não é muito difícil de responder. Você deve usar todos eles. Em geral, colocar o máximo de camadas possível entre você e o espaço escuro e frio da World Wide Web é uma boa prática — uma que você definitivamente deve levar a sério.

VPCs na prática — 4 lições aprendidas

Abaixo estão quatro dicas para ajudar você a aproveitar ao máximo sua VPC com menos complicações.

1. A AWS fornece uma VPC padrão quando a configuração da sua conta é concluída. Embora esteja tecnicamente pronta para uso, verifique as configurações de segurança mencionadas acima e certifique-se de que elas estejam alinhadas com suas necessidades para evitar surpresas desagradáveis. Aviso adicional para operadores do Terraform: o recurso VPC padrão difere crucialmente de outros da mesma categoria!

2. O provisionamento de uma VPC é trivial; no entanto, gerenciar grupos de segurança e ACLs de rede fica mais complicado à medida que a contagem de regras aumenta. Cuidado, se você não quiser ser soterrado por uma tonelada de regras ilegíveis, ou deixar algo passar por uma brecha há muito esquecida.

3. Se você estiver usando grupos de segurança e ACLs de rede para permitir acesso aos seus ambientes para seus colegas de equipe ou de trabalho, certifique-se de que os endereços que você coloca na whitelist sejam estáticos ou atualizados com muita, muita frequência. Caso contrário, um dia, um endereço não autorizado pode acabar repentinamente nas mãos de um ator malicioso que não se importará em bisbilhotar. Isso pode ser resolvido de várias maneiras, incluindo uma VPN privada controlada pela empresa (uma VPN pública típica estaria sujeita ao mesmo risco de reatribuição de IP!) ou ferramentas como HashiCorp Boundary.

4. O número de VPCs que você pode provisionar em praticamente todas as nuvens públicas é limitado. Se você deseja fornecer aos clientes seus próprios espaços de tenant, a menos que seja em microescala, outras soluções (identidades IAM, contas de usuário adicionais, etc.) provarão ser uma alternativa muito melhor.