Vše o bezpečnostních skupinách webových služeb Amazon (AWS)

Amazon Web Services (AWS) je považován za nejkomplexnější a široce přijímanou cloudovou platformu na světě. Poskytují širokou a spolehlivou škálu technické infrastruktury, škálovatelné cloudové výpočetní služby, které jsou na vyžádání milionům spotřebitelů na základě odměřování průběžně. Samozřejmě s touto úrovní propracovanosti mohou přijít i některé bezpečnostní obavy, které mohou spotřebitelé mít. V tomto článku budu hovořit o tom, co jsou skupiny zabezpečení webových služeb Amazon Web Services a jak je lze použít k vaší ochraně EC2 instance na AWS.

Co je skupina zabezpečení AWS?

An Amazonka Webová služba bezpečnostní skupina

je jednoduše virtuální brána firewall pro vaši instanci, která řídí (filtruje) příchozí a odchozí provoz.

Jak vytvořit skupiny zabezpečení AWS

Existuje několik způsobů, jak vytvořit skupinu zabezpečení webové služby Amazon, z nichž jeden je prostřednictvím konzoly pro správu AWS, jiný způsob je prostřednictvím rozhraní příkazového řádku Amazon Web Service (CLI).

V tomto článku vám ukážu, jak vytvořit skupinu zabezpečení z konzoly pro správu AWS.

1. Přihlaste se do svého Konzola pro správu AWS.
2. Vyberte službu EC2.
3. Vyberte „Skupiny zabezpečení“, najdete jej v kategorii „Síť a zabezpečení“.
4. Klikněte na tlačítko „Vytvořit skupinu zabezpečení“.
5. Zadejte název a popis skupiny zabezpečení.
6. Vyberte odpovídající VPC.
7. Přidejte a nakonfigurujte svá pravidla.

Jak konfigurovat a optimalizovat vaše skupiny zabezpečení AWS

Zde je několik tipů na konfiguraci nových skupin zabezpečení v AWS a optimalizaci stávajících.

Odebrat nepoužívané skupiny

Možná jste vytvořili skupinu zabezpečení pro spuštění testu při pokusu zjistit, jak skupiny zabezpečení fungují. Doporučuje se odebrat / odstranit všechny nepoužívané skupiny zabezpečení.

Povolit výstrahy a sledování

Amazon Web Services přichází s šikovným nástrojem s názvem AWS Cloudtrail, který umožňuje svým uživatelům sledovat, průběžně monitorovat a udržovat aktivitu účtu související s akcemi prováděnými ve vašem AWS infrastruktura.

Vyhněte se příchozímu provozu přes 0.0.0.0/0

Jak bylo uvedeno dříve, použití hodnoty kdekoli 0.0.0.0/0 musí být na základě základů a úplného pochopení toho, co děláte.

Doporučuje se však, abyste od toho úplně upustili, protože by to mohlo nakonec vystavit citlivá data vnějšímu světu.

Osvědčeným postupem je poskytnout přístup pouze ke konkrétním rozsahům protokolů a portů; Tím je zajištěno, že ostatní příchozí pakety budou zahozeny.

Role skupin zabezpečení webových služeb Amazon

Jak jsem již zmínil dříve, skupiny zabezpečení jsou v podstatě virtuální brány firewall a fungují jako takové. Poskytování zabezpečení vaší instanci Amazon Web Service EC2 filtrováním příchozího a odchozího provozu na úrovni protokolu i portu.

Každá skupina zabezpečení (číst: firewall) se mírně liší od seznamů řízení přístupu k síti (NACL), protože nemají pravidlo „Odepřít“. To znamená, že pakety budou zahozeny, pokud jim nebyla přiřazena žádná konkrétní pravidla.

Při vytváření skupiny zabezpečení je vaším primárním cílem omezit přístup, abyste mohli také pomoci udržovat, jaký provoz jde dovnitř a ven. Měli byste se také snažit dát každé skupině velmi odlišný název a popis, abyste snížili pravděpodobnost chyb.

Pravidla skupiny zabezpečení

Pravidla ve vašich skupinách zabezpečení webových služeb Amazon představují jednoduše způsob filtrování povoleného příchozího a odchozího provozu. Můžete je také považovat za způsob autorizace nebo odvolání příchozího a odchozího přístupu.

Můžete udělit přístup ke konkrétním skupinám zabezpečení, adresám IPv4 nebo IPv4 nebo konkrétním CIDR (Beztřídní směrování mezi doménami) rozsah.

Zde je několik základních pravidel skupiny zabezpečení:

• Automatický cíl: Kdykoli přidáte pravidlo skupiny zabezpečení pomocí rozhraní příkazového řádku Amazon Web Service (CLI), AWS automaticky nastaví cílový blok CIDR do kanonického tvaru.
• Přísně příchozí pravidla: To platí pro jakýkoli zdroj provozu pohybující se do vašeho virtuálního privátního cloudu VPC. Těmito zdroji mohou být jiná skupina zabezpečení nebo jedna adresa IPv4 nebo IPv6.
• Odchozí pravidla: Odchozí pravidla řeší cíl pro příchozí provoz. Lze je směrovat na jinou skupinu zabezpečení, blok CIDR nebo na jednu adresu IPv4 nebo IPv6.

Pravidla skupiny pro příchozí a odchozí zabezpečení zahrnují pět různých polí: Zdroj, Protokol, Rozsah portů & Popis.

Zdroj

Obvykle se jedná o vlastní adresu IP, rozsah podsítě nebo jinou skupinu zabezpečení. Můžete také udělit přístup k celému internetu, pokud použijete hodnotu „kdekoli (0.0.0.0/0)“.

Použití hodnoty kdekoli (0.0.0.0/0) musí být prováděno podle potřeby a měli byste zcela pochopit, do čeho jde.

Protokol

Protokoly obvykle mají výchozí TCP a mají tendenci být zašedlé. Pokud pracujete s vlastními pravidly, která jste vytvořili, můžete protokoly upravit tak, aby vyhovovaly vašim potřebám.

Rozsah portů

Rozsahy portů jsou obvykle předvyplněny. Můžete se však rozhodnout pracovat s vlastním rozsahem portů podle vašeho výběru.

Popisy

Do tohoto pole vložíte popis pravidla, které jste vytvořili. Může být užitečné udělat to podrobně.

Webová služba Amazon Skupiny zabezpečení vkládají do vašich rukou spoustu energie a přitom zajišťují, že věci zůstanou v bezpečí.