# SEC05-BP01 Creazione di livelli di rete
<a name="sec_network_protection_create_layers"></a>

 Raggruppa i componenti che condividono requisiti di raggiungibilità in vari livelli. Ad esempio, un cluster di database in un VPC senza necessità di accesso a Internet deve essere posizionato in sottoreti senza routing da o verso Internet. In un carico di lavoro serverless che opera senza un VPC, livelli e segmentazione simili con microservizi possono raggiungere lo stesso obiettivo. 

Componenti come istanze Amazon Elastic Compute Cloud (Amazon EC2), cluster di database Amazon Relational Database Service (Amazon RDS) e funzioni AWS Lambda che condividono i requisiti di raggiungibilità possono essere segmentati in livelli formati da sottoreti. Ad esempio, un cluster di database Amazon RDS in un VPC senza necessità di accesso a Internet deve essere posizionato in sottoreti senza routing da o verso Internet. Questo approccio a più livelli per i controlli mitiga l'impatto di una configurazione errata di un livello singolo, che potrebbe consentire l'accesso involontario. Per Lambda, è possibile eseguire le funzioni nel VPC per sfruttare i controlli basati su VPC.

Per la connettività di rete che può includere migliaia di VPC, account AWS e reti on-premise, è consigliabile utilizzare [AWS Transit Gateway](http://aws.amazon.com/transit-gateway). Funge da hub che controlla il modo in cui il traffico viene instradato tra tutte le reti connesse, che agiscono come raggi. Il traffico tra Amazon Virtual Private Cloud e AWS Transit Gateway rimane sulla rete privata AWS, riducendo i vettori di minacce esterni, ad esempio attacchi DDoS (Distributed Denial of Service) ed exploit comuni, come iniezione SQL, script tra siti, false richieste tra siti o uso illecito del codice di autenticazione. Il peering AWS Transit Gateway tra Regioni crittografa il relativo traffico senza un singolo punto di errore o un collo di bottiglia a livello di banda.

 **Livello di rischio associato se questa best practice non fosse adottata:** Alto 

## Guida all'implementazione
<a name="implementation-guidance"></a>
+  Creazione di sottoreti in VPC: crea sottoreti per ogni livello (in gruppi che includono più zone di disponibilità) e associa tabelle di instradamento per controllare il routing. 
  +  [VPC e sottoreti ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html)
  +  [Tabelle di instradamento ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)

## Risorse
<a name="resources"></a>

 **Documenti correlati:** 
+  [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html) 
+ [ Amazon Inspector ](https://aws.amazon.com/inspector)
+  [Sicurezza Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html) 
+  [Nozioni di base su AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 

 **Video correlati:** 
+  [AWS Transit Gateway reference architectures for many VPCs (Architetture di referenza AWS Transit Gateway per molti VPC) ](https://youtu.be/9Nikqn_02Oc)
+  [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield (Accelerazione e protezione delle applicazioni con Amazon CloudFront, AWS Web Application Firewall e AWS Shield)](https://youtu.be/0xlwLEccRe0) 

 **Esempi correlati:** 
+  [Laboratorio: Implementazione automatizzata di VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)