Όλα για τις ομάδες ασφαλείας Amazon Web Services (AWS)

Το Amazon Web Services (AWS) θεωρείται η πιο ολοκληρωμένη πλατφόρμα cloud παγκοσμίως. Παρέχουν ένα ευρύ και αξιόπιστο φάσμα τεχνολογικής υποδομής, επεκτάσιμες υπηρεσίες υπολογιστικού νέφους που είναι κατ 'απαίτηση σε εκατομμύρια καταναλωτές σε μετρημένη βάση pay-as-you-go. Φυσικά, με αυτό το επίπεδο πολυπλοκότητας μπορεί να προκύψουν ορισμένες ανησυχίες ασφάλειας που ενδέχεται να έχουν οι καταναλωτές. Σε αυτό το άρθρο, θα μιλήσω για το τι είναι οι Ομάδες Ασφαλείας Υπηρεσιών Ιστού Amazon και πώς μπορούν να χρησιμοποιηθούν για την προστασία σας Παρουσιάσεις EC2 σε AWS.

Τι είναι μια ομάδα ασφαλείας AWS;

Ενα Αμαζόνα Υπηρεσία Ιστού ομάδα ασφαλείας είναι απλώς ένα εικονικό τείχος προστασίας για την παρουσία σας για τον έλεγχο (φιλτράρισμα) εισερχόμενης και εξερχόμενης κίνησης.

Πώς να δημιουργήσετε ομάδες ασφαλείας AWS

Υπάρχουν πολλοί τρόποι για να δημιουργήσετε ένα Amazon Web Service Security Group, ένας από τους οποίους είναι μέσω της κονσόλας διαχείρισης AWS, μια άλλη μέθοδος είναι μέσω της Διασύνδεσης Γραμμής Εντολών της Υπηρεσίας Ιστού Amazon (CLI).

Σε αυτό το άρθρο, θα σας δείξω πώς να δημιουργήσετε μια ομάδα ασφαλείας από την κονσόλα διαχείρισης AWS.

1. Συνδεθείτε στο δικό σας Κονσόλα διαχείρισης AWS.
2. Επιλέξτε την υπηρεσία EC2.
3. Επιλέξτε "Ομάδες ασφαλείας", μπορεί να βρεθεί στην κατηγορία "Δίκτυο και ασφάλεια".
4. Κάντε κλικ στο κουμπί "Δημιουργία ομάδας ασφαλείας".
5. Εισαγάγετε το όνομα και την περιγραφή της ομάδας ασφαλείας σας.
6. Επιλέξτε το αντίστοιχο VPC σας.
7. Προσθέστε και διαμορφώστε τους κανόνες σας.

Πώς να ρυθμίσετε και να βελτιστοποιήσετε τις ομάδες ασφαλείας AWS

Ακολουθούν μερικές συμβουλές για τη διαμόρφωση νέων ομάδων ασφαλείας στο AWS και τη βελτιστοποίηση των υπαρχόντων.

Κατάργηση αχρησιμοποίητων ομάδων

Ίσως να έχετε δημιουργήσει μια ομάδα ασφαλείας για να εκτελέσετε μια δοκιμή ενώ προσπαθείτε να καταλάβετε πώς λειτουργούν οι ομάδες ασφαλείας. Συνιστάται να καταργήσετε / διαγράψετε οποιαδήποτε ομάδα ασφαλείας που δεν χρησιμοποιείται.

Ενεργοποίηση ειδοποίησης και παρακολούθησης

Το Amazon Web Services έρχεται με ένα καλό εργαλείο που ονομάζεται AWS Cloudtrail που επιτρέπει στους χρήστες του να παρακολουθούν, παρακολουθείτε συνεχώς και διατηρείτε τη δραστηριότητα λογαριασμού που σχετίζεται με ενέργειες που πραγματοποιούνται στο AWS σας υποδομή.

Αποφύγετε την εισερχόμενη κίνηση μέσω 0.0.0.0/0

Όπως αναφέρθηκε νωρίτερα, η χρήση της τιμής 0,0.0.0/0 οπουδήποτε πρέπει να βασίζεται και να κατανοεί πλήρως τι κάνετε.

Ωστόσο, συνιστάται να το αποφύγετε εντελώς, διότι μπορεί να καταλήξει να εκθέτει ευαίσθητα δεδομένα στον έξω κόσμο.

Είναι βέλτιστη πρακτική να παρέχετε πρόσβαση μόνο σε συγκεκριμένα πρωτόκολλα και εύρη λιμένων. Αυτό διασφαλίζει ότι θα πέσουν και άλλα εισερχόμενα πακέτα.

Ρόλοι των Ομάδων Ασφαλείας Υπηρεσιών Ιστού Amazon

Όπως ανέφερα νωρίτερα, οι ομάδες ασφαλείας είναι βασικά εικονικά τείχη προστασίας και ενεργούν ως τέτοιες. Παροχή ασφάλειας στην παρουσία του Amazon Web Service EC2 φιλτράροντας την εισερχόμενη και εξερχόμενη κίνηση τόσο σε επίπεδο πρωτοκόλλου όσο και σε επίπεδο θύρας.

Κάθε ομάδα ασφαλείας (ανάγνωση: τείχος προστασίας) είναι ελαφρώς διαφορετική από τις λίστες ελέγχου πρόσβασης δικτύου (NACL), καθώς δεν διαθέτουν κανόνα "Άρνηση". Αυτό σημαίνει ότι, τα πακέτα θα απορριφθούν εάν δεν είχαν καθοριστεί συγκεκριμένοι κανόνες.

Κατά τη δημιουργία μιας ομάδας ασφαλείας, πρωταρχικός στόχος σας είναι να περιορίσετε την πρόσβαση, ώστε να μπορείτε επίσης να διατηρήσετε την κυκλοφορία που εισέρχεται και εξέρχεται. Θα πρέπει επίσης να προσπαθήσετε να δώσετε σε κάθε ομάδα ένα πολύ ξεχωριστό όνομα και περιγραφή, ώστε να μειώσετε τις πιθανότητες σφαλμάτων.

Κανόνες ομάδας ασφαλείας

Οι κανόνες στις Ομάδες Ασφαλείας της Υπηρεσίας Ιστού του Amazon είναι απλώς ένας τρόπος φιλτραρίσματος της επιτρεπόμενης και εξερχόμενης κυκλοφορίας. Μπορείτε επίσης να τους θεωρήσετε έναν τρόπο εξουσιοδότησης ή ανάκλησης εισερχόμενης και εξερχόμενης πρόσβασης.

Μπορείτε να παραχωρήσετε πρόσβαση σε συγκεκριμένες ομάδες ασφαλείας, διευθύνσεις IPv4 ή IPv4 ή σε συγκεκριμένο CIDR (Δρομολόγηση εκτός κλάδου χωρίς ταξινόμηση) εύρος.

Ακολουθούν μερικοί βασικοί κανόνες ομάδας ασφαλείας:

• Αυτόματος προορισμός: Κάθε φορά που προσθέτετε έναν κανόνα ομάδας ασφαλείας χρησιμοποιώντας τη Διασύνδεση Γραμμής Εντολών Υπηρεσίας Ιστού Amazon (CLI), το AWS ορίζει αυτόματα το μπλοκ προορισμού CIDR σε κανονική φόρμα.
• Αυστηρά εισερχόμενοι κανόνες: Αυτό ισχύει για οποιαδήποτε πηγή επισκεψιμότητας που μεταφέρεται στο Virtual Private Cloud VPC σας. Αυτές οι πηγές μπορεί να είναι μια άλλη ομάδα ασφαλείας ή μία διεύθυνση IPv4 ή IPv6.
• Κανόνες εξερχόμενων: Οι κανόνες εξερχόμενων ρυθμίζουν τον προορισμό της εισερχόμενης κίνησης. Μπορούν να δρομολογηθούν σε διαφορετική ομάδα ασφαλείας, μπλοκ CIDR ή μεμονωμένη διεύθυνση IPv4 ή IPv6.

Οι Κανόνες Ομάδας Εισερχόμενης και Εξερχόμενης Ασφάλειας περιλαμβάνουν πέντε διαφορετικά πεδία: Πηγή, Πρωτόκολλο, Εύρος λιμένων & Περιγραφή.

Πηγή

Αυτή είναι συνήθως μια προσαρμοσμένη διεύθυνση IP, ένα εύρος υποδικτύου ή άλλη ομάδα ασφαλείας. Μπορείτε επίσης να παραχωρήσετε πρόσβαση σε ολόκληρο το Διαδίκτυο εάν χρησιμοποιείτε την τιμή "οπουδήποτε (0.0.0.0/0)".

Η χρήση της τιμής οπουδήποτε (0.0.0.0/0) πρέπει να γίνεται ανάλογα με τις ανάγκες και θα πρέπει να καταλάβετε πλήρως τι αντιμετωπίζετε.

Πρωτόκολλο

Τα πρωτόκολλα είναι συνήθως προεπιλεγμένα στο TCP και τείνουν να είναι γκρίζα. Ωστόσο, εάν εργάζεστε με προσαρμοσμένους κανόνες που δημιουργήσατε, μπορείτε να τροποποιήσετε τα πρωτόκολλα ώστε να ταιριάζουν στις ανάγκες σας.

Εύρος λιμένων

Οι περιοχές θύρας είναι συνήθως προγεμισμένες. Ωστόσο, μπορείτε να αποφασίσετε να εργαστείτε με ένα προσαρμοσμένο εύρος θύρας της επιλογής σας.

Περιγραφές

Αυτό είναι το πεδίο στο οποίο εισάγετε μια περιγραφή για τον κανόνα που έχετε δημιουργήσει. Μπορεί να είναι χρήσιμο να το κάνετε λεπτομερές.

Υπηρεσία Web Amazon Οι Ομάδες Ασφαλείας αποδίδουν μεγάλη δύναμη στα χέρια σας, ενώ διασφαλίζουν ότι τα πράγματα παραμένουν ασφαλή.