Tout sur les groupes de sécurité Amazon Web Services (AWS)

Amazon Web Services (AWS) est considéré comme la plate-forme cloud la plus complète et la plus largement adoptée au monde. Ils fournissent une gamme large et fiable d'infrastructures technologiques, des services de cloud computing évolutifs qui sont à la demande de millions de consommateurs sur une base de paiement à l'utilisation. Bien entendu, ce niveau de sophistication pourrait entraîner des problèmes de sécurité pour les consommateurs. Dans cet article, je parlerai de ce que sont les groupes de sécurité Amazon Web Services et de la manière dont ils peuvent être utilisés pour protéger votre Instances EC2 sur AWS.

Qu'est-ce qu'un groupe de sécurité AWS?

Un Amazone Service Web groupe de sécurité est simplement un pare-feu virtuel pour votre instance pour contrôler (filtrer) le trafic entrant et sortant.

Comment créer des groupes de sécurité AWS

Il existe plusieurs façons de créer un groupe de sécurité Amazon Web Service, l'une via la console de gestion AWS, une autre via l'interface de ligne de commande (CLI) Amazon Web Service.

Dans cet article, je vais vous montrer comment créer un groupe de sécurité à partir de la console de gestion AWS.

1. Connectez-vous à votre AWS Management Console.
2. Sélectionnez le service EC2.
3. Sélectionnez «Groupes de sécurité», il se trouve dans la catégorie «Réseau et sécurité».
4. Cliquez sur le bouton «Créer un groupe de sécurité».
5. Saisissez le nom et la description de votre groupe de sécurité.
6. Sélectionnez votre VPC correspondant.
7. Ajoutez et configurez vos règles.

Comment configurer et optimiser vos groupes de sécurité AWS

Voici quelques conseils sur la configuration de nouveaux groupes de sécurité dans AWS et l'optimisation des groupes existants.

Supprimer les groupes inutilisés

Vous avez peut-être créé un groupe de sécurité pour exécuter un test tout en essayant de comprendre le fonctionnement des groupes de sécurité. Il est conseillé de supprimer / supprimer tout groupe de sécurité inutilisé.

Activer les alertes et le suivi

Amazon Web Services est livré avec un outil astucieux appelé AWS Cloudtrail qui permet à ses utilisateurs de suivre, surveiller et conserver en permanence l'activité du compte liée aux actions effectuées dans votre AWS Infrastructure.

Évitez le trafic entrant via 0.0.0.0/0

Comme indiqué précédemment, l'utilisation de la valeur n'importe où 0.0.0.0/0 doit être basée sur un besoin et une compréhension complète de ce que vous faites.

Cependant, il est recommandé de vous en tenir à l'écart, car cela pourrait finir par exposer des données sensibles au monde extérieur.

Il est recommandé de ne donner accès qu'à des protocoles et des plages de ports spécifiques; cela garantit que les autres paquets entrants seront abandonnés.

Rôles des groupes de sécurité Amazon Web Services

Comme je l'ai mentionné plus tôt, les groupes de sécurité sont essentiellement des pare-feu virtuels et agissent en tant que tels. Assurer la sécurité de votre instance Amazon Web Service EC2 en filtrant le trafic entrant et sortant au niveau du protocole et du port.

Chaque groupe de sécurité (lire: pare-feu) est légèrement différent des listes de contrôle d'accès réseau (NACL) car ils ne possèdent pas de règle «Refuser». Cela signifie que les paquets seront abandonnés si aucune règle spécifique ne leur est assignée.

Lors de la création d'un groupe de sécurité, votre objectif principal est de restreindre l'accès afin que vous puissiez également aider à gérer le trafic entrant et sortant. Vous devez également vous efforcer de donner à chaque groupe un nom et une description très distinctifs afin de réduire les risques d'erreur.

Règles du groupe de sécurité

Les règles de vos groupes de sécurité Amazon Web Service sont simplement un moyen de filtrer le trafic entrant et sortant autorisé. Vous pouvez également les considérer comme un moyen d'autoriser ou de révoquer l'accès entrant et sortant.

Vous pouvez accorder l'accès à des groupes de sécurité spécifiques, à des adresses IPv4 ou IPv4 ou à un CIDR spécifique (Routage inter-domaines sans classe) intervalle.

Voici quelques règles de base pour les groupes de sécurité:

• Destination automatique: Chaque fois que vous ajoutez une règle de groupe de sécurité à l'aide de l'interface de ligne de commande (CLI) d'Amazon Web Service, AWS définit automatiquement le bloc CIDR de destination sur une forme canonique.
• Règles strictement entrantes: Cela s'applique à toute source de trafic entrant dans votre VPC Virtual Private Cloud. Ces sources peuvent être un autre groupe de sécurité ou une seule adresse IPv4 ou IPv6.
• Règles sortantes: Les règles sortantes traitent de la destination du trafic entrant. Ils peuvent être acheminés vers un groupe de sécurité différent, un bloc CIDR ou une seule adresse IPv4 ou IPv6.

Les règles de groupe de sécurité entrantes et sortantes comprennent cinq champs différents: La source, Protocole, Gamme de ports & La description.

La source

Il s'agit généralement d'une adresse IP personnalisée, d'une plage de sous-réseaux ou d'un autre groupe de sécurité. Vous pouvez également accorder l'accès à l'intégralité d'Internet si vous utilisez la valeur «n'importe où (0.0.0.0/0)».

L'utilisation de la valeur n'importe où (0.0.0.0/0) doit se faire au besoin et vous devez comprendre complètement dans quoi vous vous engagez.

Protocole

Les protocoles sont généralement par défaut TCP et ont tendance à être grisés. Si vous travaillez avec des règles personnalisées que vous avez créées, vous pouvez toutefois modifier les protocoles en fonction de vos besoins.

Gamme de ports

Les plages de ports sont généralement préremplies. Cependant, vous pouvez décider de travailler avec une plage de ports personnalisée de votre choix.

Descriptions

Il s'agit du champ dans lequel vous insérez une description pour la règle que vous avez créée. Il peut être utile de le rendre détaillé.

Service Web Amazon Les groupes de sécurité mettent beaucoup de puissance entre vos mains, tout en garantissant que les choses restent en sécurité.