Todo sobre los grupos de seguridad de Amazon Web Services (AWS)

Amazon Web Services (AWS) se considera la plataforma en la nube más completa y ampliamente adoptada del mundo. Proporcionan una amplia y confiable gama de infraestructura tecnológica, servicios de computación en la nube escalables que están bajo demanda para millones de consumidores con un sistema de pago por uso medido. Por supuesto, con este nivel de sofisticación pueden surgir algunas preocupaciones de seguridad que puedan tener los consumidores. En este artículo, hablaré sobre qué son los grupos de seguridad de Amazon Web Services y cómo se pueden utilizar para proteger su Instancias EC2 en AWS.

¿Qué es un grupo de seguridad de AWS?

Un Amazonas Servicio web grupo de seguridad es simplemente un firewall virtual para que su instancia controle (filtre) el tráfico entrante y saliente.

Cómo crear grupos de seguridad de AWS

Hay varias formas de crear un grupo de seguridad de Amazon Web Service, una de las cuales es a través de la consola de administración de AWS, otro método es a través de la interfaz de línea de comandos (CLI) de Amazon Web Service.

En este artículo, le mostraré cómo crear un grupo de seguridad desde la consola de administración de AWS.

1. Inicie sesión en su Consola de administración de AWS.
2. Seleccione el servicio EC2.
3. Seleccione "Grupos de seguridad", se puede encontrar en la categoría "Red y seguridad".
4. Haga clic en el botón "Crear grupo de seguridad".
5. Ingrese el nombre y la descripción de su grupo de seguridad.
6. Seleccione su VPC correspondiente.
7. Agregue y configure sus reglas.

Cómo configurar y optimizar sus grupos de seguridad de AWS

A continuación, se ofrecen algunos consejos para configurar nuevos grupos de seguridad en AWS y optimizar los existentes.

Eliminar grupos no utilizados

Es posible que haya creado un grupo de seguridad para ejecutar una prueba mientras intenta averiguar cómo funcionan los grupos de seguridad. Se recomienda que elimine / elimine cualquier grupo de seguridad no utilizado.

Habilitar alertas y seguimiento

Amazon Web Services viene con una ingeniosa herramienta llamada AWS Cloudtrail que permite a sus usuarios realizar un seguimiento, supervisar y retener continuamente la actividad de la cuenta relacionada con las acciones realizadas en su AWS infraestructura.

Evite el tráfico entrante a través de 0.0.0.0/0

Como se indicó anteriormente, el uso del valor 0.0.0.0/0 en cualquier lugar debe basarse en una necesidad y una comprensión completa de lo que está haciendo.

Sin embargo, se recomienda que se mantenga alejado de esto por completo porque podría terminar exponiendo datos confidenciales al mundo exterior.

Es una buena práctica dar acceso solo a protocolos y rangos de puertos específicos; esto asegura que se descartarán otros paquetes entrantes.

Funciones de los grupos de seguridad de Amazon Web Services

Como mencioné anteriormente, los grupos de seguridad son básicamente firewalls virtuales y actúan como tales. Brindar seguridad a su instancia EC2 de Amazon Web Service mediante el filtrado del tráfico entrante y saliente a nivel de protocolo y puerto.

Cada grupo de seguridad (léase: cortafuegos) es ligeramente diferente de las listas de control de acceso a la red (NACL), ya que no poseen una regla de "Denegación". Lo que esto significa es que los paquetes se descartarán si no se les asignaron reglas específicas.

Al crear un grupo de seguridad, su objetivo principal es restringir el acceso para que también pueda ayudar a mantener el tráfico que entra y sale. También debe esforzarse por dar a cada grupo un nombre y una descripción muy distintivos para reducir las posibilidades de errores.

Reglas del grupo de seguridad

Las reglas de los grupos de seguridad de Amazon Web Service son simplemente una forma de filtrar qué tráfico entrante y saliente está permitido. También puede considerarlos una forma de autorizar o revocar el acceso entrante y saliente.

Puede otorgar acceso a grupos de seguridad específicos, direcciones IPv4 o IPv4 o CIDR específico (Itinerario entre recesos) rango.

A continuación, se muestran algunas reglas básicas del grupo de seguridad:

• Destino automático: Siempre que agrega una regla de grupo de seguridad mediante la interfaz de línea de comandos (CLI) de Amazon Web Service, AWS establece automáticamente el bloque de CIDR de destino en un formato canónico.
• Reglas estrictamente entrantes: Esto se aplica a cualquier fuente de tráfico que se traslade a su VPC de nube privada virtual. Estas fuentes pueden ser otro grupo de seguridad o una única dirección IPv4 o IPv6.
• Reglas de salida: Las reglas de salida tratan con el destino del tráfico entrante. Pueden enrutarse a un grupo de seguridad diferente, un bloque CIDR o una única dirección IPv4 o IPv6.

Las reglas de grupo de seguridad de entrada y salida comprenden cinco campos diferentes: Fuente, Protocolo, rango de puertos & Descripción.

Fuente

Suele ser una dirección IP personalizada, un rango de subred u otro grupo de seguridad. También puede otorgar acceso a todo Internet si usa el valor "en cualquier lugar (0.0.0.0/0)".

El uso del valor en cualquier lugar (0.0.0.0/0) debe realizarse según sea necesario, y debe comprender completamente en qué se está metiendo.

Protocolo

Por lo general, los protocolos predeterminados son TCP y tienden a aparecer atenuados. Sin embargo, si está trabajando con reglas personalizadas que creó, puede modificar los protocolos para adaptarlos a sus necesidades.

rango de puertos

Los rangos de puertos suelen estar precargados. Sin embargo, puede decidir trabajar con un rango de puertos personalizado de su elección.

Descripciones

Este es el campo donde inserta una descripción para la regla que ha creado. Puede ser útil hacerlo detallado.

Servicio web de Amazon Security Groups pone mucho poder en sus manos y, al mismo tiempo, garantiza que todo se mantenga seguro y protegido.