Всичко за групите за сигурност на Amazon Web Services (AWS)

Amazon Web Services (AWS) се счита за най-изчерпателната и широко възприета облачна платформа в света. Те предоставят широка и надеждна гама от технологична инфраструктура, мащабируеми услуги за изчислителни облаци, които са при поискване на милиони потребители на базата на измерване на заплащането при движение. Разбира се, с това ниво на усъвършенстване може да дойдат някои притеснения относно сигурността, които потребителите могат да имат. В тази статия ще говоря за това какво представляват групите за сигурност на Amazon Web Services и как те могат да бъдат използвани за защита на вашите EC2 екземпляри на AWS.

Какво е AWS Security Group?

An Amazon Уеб сервиз група за сигурност е просто виртуална защитна стена за вашия екземпляр за контрол (филтриране) на входящия и изходящия трафик.

Как да създам AWS групи за сигурност

Има няколко начина за създаване на Amazon Web Service Security Group, един от които е чрез конзолата за управление на AWS, друг метод е чрез интерфейса на командния ред на Amazon Web Service (CLI).

В тази статия ще ви покажа как да създадете група за защита от конзолата за управление на AWS.

1. Влезте в своя Конзола за управление на AWS.
2. Изберете услугата EC2.
3. Изберете „Групи за сигурност“, тя може да бъде намерена в категорията „Мрежа и сигурност“.
4. Щракнете върху бутона „Създаване на група за сигурност“.
5. Въведете името и описанието на вашата група за сигурност.
6. Изберете съответния ви VPC.
7. Добавете и конфигурирайте вашите правила.

Как да конфигурирате и оптимизирате вашите групи за сигурност на AWS

Ето няколко съвета за конфигуриране на нови групи за сигурност в AWS и оптимизиране на съществуващите.

Премахнете неизползваните групи

Може да сте създали група за защита за провеждане на тест, докато се опитвате да разберете как работят групите за сигурност. Препоръчително е да премахнете / изтриете всяка неизползвана група за защита.

Активирайте предупреждението и проследяването

Amazon Web Services се предлага с отличен инструмент, наречен AWS Cloudtrail, който позволява на потребителите да следят, непрекъснато наблюдавайте и запазвайте активността на акаунта, свързана с действия, извършени във вашия AWS инфраструктура.

Избягвайте входящия трафик чрез 0.0.0.0/0

Както беше посочено по-рано, използването на стойността 0.0.0.0/0 където и да е трябва да се основава на необходимост и пълно разбиране на това, което правите.

Препоръчително е обаче да се пазите от това напълно, защото това може да доведе до излагане на чувствителни данни на външния свят.

Най-добрата практика е да се дава достъп само до определени диапазони на протокол и порт; това гарантира, че други входящи пакети ще бъдат отпаднали.

Роли на групите за сигурност на Amazon Web Services

Както споменах по-рано, групите за сигурност са основно виртуални защитни стени и действат като такива. Осигуряване на сигурност на вашия екземпляр на Amazon Web Service EC2 чрез филтриране на входящия и изходящия трафик на ниво протокол и порт.

Всяка група за сигурност (чете се: защитна стена) е малко по-различна от списъците за контрол на мрежовия достъп (NACL), тъй като те не притежават правило „Отказ“. Това означава, че пакетите ще бъдат изпуснати, ако не са им били определени специфични правила.

Когато създавате група за сигурност, вашата основна цел е да ограничите достъпа, за да можете също така да поддържате трафика, който влиза и излиза. Също така трябва да се стремите да дадете на всяка група много отличително име и описание, за да намалите шансовете за грешки.

Правила на групата за сигурност

Правилата във вашите групи за защита на уеб услуги на Amazon са просто начин за филтриране на разрешения входящ и изходящ трафик. Можете също така да ги разгледате като начин за разрешаване или отмяна на входящ и изходящ достъп.

Можете да предоставите достъп до конкретни групи за сигурност, IPv4 или IPv4 адреси или конкретен CIDR (Безкласно маршрутизиране между домейни) обхват.

Ето няколко основни правила за групата за сигурност:

• Автоматична дестинация: Винаги, когато добавяте правило за група за сигурност, използвайки интерфейса на командния ред на Amazon Web Service (CLI), AWS автоматично задава целевия CIDR блок в канонична форма.
• Строго входящи правила: Това се отнася за всеки източник на трафик, който се премества във вашия Virtual Private Cloud VPC. Тези източници могат да бъдат друга група за сигурност или отделен IPv4 или IPv6 адрес.
• Изходящи правила: Изходящите правила се занимават с дестинацията за входящ трафик. Те могат да бъдат насочени към различна група за сигурност, CIDR блок или един IPv4 или IPv6 адрес.

Правилата на групата за входяща и изходяща сигурност се състоят от пет различни полета: Източник, Протокол, Порт диапазон & Описание.

Източник

Това обикновено е персонализиран IP адрес, диапазон на подмрежа или друга група за сигурност. Можете също така да предоставите достъп до целия интернет, ако използвате стойността „където и да е (0.0.0.0/0)“.

Използването на стойността където и да е (0.0.0.0/0) трябва да се извършва според нуждите и трябва напълно да разберете в какво се захващате.

Протокол

Протоколите обикновено по подразбиране са TCP и обикновено са неактивни. Ако работите с персонализирани правила, които сте създали, обаче, можете да модифицирате протоколите, за да отговарят на вашите нужди.

Порт диапазон

Диапазоните на портовете обикновено се попълват предварително. Можете обаче да решите да работите с персонализиран диапазон от порти по ваш избор.

Описания

Това е полето, в което вмъквате описание за правилото, което сте създали. Може да е полезно да го направите подробно.

Amazon Web Service Групите за сигурност поставят много сила във вашите ръце, като същевременно гарантират, че нещата остават в безопасност.