Kaikki Amazon Web Services (AWS) -tietoryhmistä
Muu Hyödyllinen Opas / / August 05, 2021
Amazon Web Services -palvelua (AWS) pidetään maailman kattavimpana ja laajimmin omaksutuna pilvialustana. Ne tarjoavat laajan ja luotettavan valikoiman teknisiä infrastruktuureja, skaalautuvia pilvipalvelupalveluja, jotka ovat kysyttyjä miljoonille kuluttajille mitattuna pay-as-you-go-periaatteella. Tietysti tämän hienostuneisuuden kanssa saattaa tulla joitain kuluttajien turvallisuusongelmia. Tässä artikkelissa puhun siitä, mitä Amazon Web Services Security Groups ovat ja miten niitä voidaan käyttää suojaamaan sinua EC2-esiintymät AWS: llä.
![Kaikki Amazon Web Services (AWS) -tietoryhmistä](/f/f7d27c15b892f4ec817e3a9a75a88971.jpg)
Sisällysluettelo
- 1 Mikä on AWS Security Group?
- 2 Kuinka luoda AWS-suojausryhmiä
-
3 Kuinka määrittää ja optimoida AWS-suojausryhmät
- 3.1 Poista käyttämättömät ryhmät
- 3.2 Ota hälytys ja seuranta käyttöön
- 3.3 Vältä saapuvaa liikennettä kautta 0.0.0.0/0
- 4 Amazon Web Services Security Groupsin roolit
-
5 Suojausryhmän säännöt
- 5.1 Lähde
- 5.2 Pöytäkirja
- 5.3 Satama-alue
- 5.4 Kuvaukset
Mikä on AWS Security Group?
An Amazon Verkkopalvelu turvallisuusryhmä on yksinkertaisesti virtuaalinen palomuuri ilmentymällesi ohjaamaan (suodattamaan) saapuvaa ja lähtevää liikennettä.
Kuinka luoda AWS-suojausryhmiä
![Luo Amazon Web Services (AWS) -tietoryhmät](/f/efaa0eb651ebc4b8a378fe4041c0e0d5.png)
On olemassa useita tapoja luoda Amazon Web Service Security Group, joista yksi on AWS-hallintakonsolin kautta, toinen tapa on Amazon Web Service Command Line Interface (CLI).
![AWS-hallintakonsoli](/f/28ddbd6e8cd0527d0228e0fafee17605.png)
Tässä artikkelissa näytän sinulle, miten luodaan suojausryhmä AWS-hallintakonsolista.
- Kirjaudu sisään AWS-hallintakonsoli.
- Valitse EC2-palvelu.
- Valitse "Suojausryhmät", se löytyy "Verkko ja suojaus" -luokasta.
- Napsauta Luo suojausryhmä -painiketta.
- Syötä suojausryhmän nimi ja kuvaus.
- Valitse vastaava VPC.
- Lisää ja määritä säännöt.
Kuinka määrittää ja optimoida AWS-suojausryhmät
Tässä on muutama vinkki uusien suojausryhmien määrittämiseen AWS: ssä ja olemassa olevien optimoimiseksi.
Poista käyttämättömät ryhmät
Olet ehkä luonut suojausryhmän testin suorittamista varten yrittäessäsi selvittää, miten suojausryhmät toimivat. On suositeltavaa poistaa / poistaa kaikki käyttämättömät suojausryhmät.
Ota hälytys ja seuranta käyttöön
Amazon Web Services sisältää hienon AWS Cloudtrail -työkalun, jonka avulla käyttäjät voivat seurata, seuraa ja säilytä jatkuvasti AWS: ssäsi suoritettuihin toimiin liittyvää tilitoimintaa infrastruktuuri.
Vältä saapuvaa liikennettä kautta 0.0.0.0/0
Kuten varhain todettiin, missä tahansa 0.0.0.0 / 0-arvon käyttämisen on oltava perustana tarve ja täydellinen käsitys siitä, mitä olet tekemässä.
On kuitenkin suositeltavaa, että pidät tämän täysin poissa, koska se saattaa päätyä paljastamaan arkaluontoisia tietoja ulkomaailmalle.
Paras käytäntö on antaa pääsy vain tietyille protokolla- ja porttialueille. tämä varmistaa, että muut saapuvat paketit pudotetaan.
Amazon Web Services Security Groupsin roolit
Kuten aiemmin mainitsin, suojausryhmät ovat pohjimmiltaan virtuaalisia palomuureja ja toimivat sellaisenaan. Suojaa Amazon Web Service EC2 -esiintymääsi suodattamalla saapuva ja lähtevä liikenne sekä protokolla- että porttitasolla.
Jokainen suojausryhmä (lue: palomuuri) eroaa hieman verkon pääsynvalvontaluetteloista (NACL), koska niillä ei ole Estä-sääntöä. Tämä tarkoittaa, että paketit pudotetaan, jos niille ei ole määritetty erityisiä sääntöjä.
Kun luot suojausryhmää, ensisijaisena tavoitteena on rajoittaa pääsyä, jotta voit myös auttaa ylläpitämään, mitä liikennettä menee sisään ja ulos. Sinun tulisi myös pyrkiä antamaan jokaiselle ryhmälle hyvin erottuva nimi ja kuvaus virheiden todennäköisyyden vähentämiseksi.
Suojausryhmän säännöt
Amazon Web Service Security -ryhmiesi säännöt ovat yksinkertaisesti tapa suodattaa sallittu saapuva ja lähtevä liikenne. Voit myös pitää niitä tapana valtuuttaa tai peruuttaa saapuvat ja lähtevät käyttöoikeudet.
Voit myöntää pääsyn tietyille suojausryhmille, IPv4- tai IPv4-osoitteille tai tietylle CIDR: lle (Luokittelematon verkkotunnusten välinen reititys) alue.
Tässä on muutama tietoturvaryhmän perussääntö:
- Automaattinen määränpää: Aina kun lisäät suojausryhmäsäännön Amazon Web Service Command Line Interface (CLI) -ominaisuuden avulla, AWS asettaa kohteen CIDR-lohkon automaattisesti ensisijaiseen muotoon.
- Tiukasti saapuvat säännöt: Tämä koskee kaikkia liikenteen lähteitä, jotka siirtyvät Virtual Private Cloud VPC: hen. Nämä lähteet voivat olla toinen suojausryhmä tai yksi IPv4- tai IPv6-osoite.
- Lähtevät säännöt: Lähtevät säännöt käsittelevät saapuvan liikenteen määränpäätä. Ne voidaan reitittää eri suojausryhmään, CIDR-lohkoon tai yhteen IPv4- tai IPv6-osoitteeseen.
Saapuvan ja lähtevän tietoturvan ryhmäsäännöt koostuvat viidestä eri kentästä: Lähde, Pöytäkirja, Satama-alue & Kuvaus.
Lähde
Tämä on yleensä mukautettu IP-osoite, aliverkon alue tai jokin muu suojausryhmä. Voit myös myöntää pääsyn koko Internetiin, jos käytät arvoa "missä tahansa (0.0.0.0/0)".
Missä tahansa (0.0.0.0/0) -arvon käyttämisen on oltava tarpeen mukaan, ja sinun on ymmärrettävä täysin, mihin olet menossa.
Pöytäkirja
Protokollat ovat yleensä TCP: n oletusarvoisia ja yleensä harmaita. Jos kuitenkin työskentelet luomiesi mukautettujen sääntöjen kanssa, voit muokata protokollia tarpeidesi mukaan.
Satama-alue
Porttialueet ovat tyypillisesti esitäytettyjä. Voit kuitenkin päättää työskennellä valitsemasi mukautetun porttialueen kanssa.
Kuvaukset
Tämä on kenttä, johon lisätään kuvaus luomallesi säännölle. Se voi olla hyödyllistä tehdä siitä yksityiskohtainen.
![AWS-suojausryhmän kuvaukset](/f/4714cf327bc5e15195ffe52c065a83d7.png)
Amazon-verkkopalvelu Suojausryhmät antavat paljon virtaa käteesi ja varmistavat samalla, että asiat pysyvät turvassa.