Sve o Amazon Web Services (AWS) sigurnosnim grupama
Drugi Korisni Vodič / / August 05, 2021
Amazon Web Services (AWS) smatra se najopsežnijom i široko prihvaćenom cloud platformom na svijetu. Pružaju širok i pouzdan spektar tehnološke infrastrukture, skalabilne usluge računalstva u oblaku koje su na zahtjev milijunima potrošača na osnovi odmjerenog plaćanja prema kretanju. Naravno, s ovom razinom sofisticiranosti mogli bi doći i neki sigurnosni problemi koje bi potrošači mogli imati. U ovom članku govorit ću o tome što su sigurnosne grupe Amazon Web Services i kako se one mogu koristiti za zaštitu vaših EC2 instance na AWS-u.
Sadržaj
- 1 Što je AWS Security Group?
- 2 Kako stvoriti AWS sigurnosne grupe
-
3 Kako konfigurirati i optimizirati svoje AWS sigurnosne grupe
- 3.1 Uklonite Neiskorištene grupe
- 3.2 Omogući upozorenje i praćenje
- 3.3 Izbjegavajte dolazni promet putem 0.0.0.0/0
- 4 Uloge sigurnosnih grupa Amazon Web Services
-
5 Pravila sigurnosne grupe
- 5.1 Izvor
- 5.2 Protokol
- 5.3 Doseg luke
- 5.4 Opisi
Što je AWS Security Group?
An Amazon Web usluga sigurnosna grupa je jednostavno virtualni vatrozid za vašu instancu za kontrolu (filtriranje) dolaznog i odlaznog prometa.
Kako stvoriti AWS sigurnosne grupe
Postoji više načina za stvaranje Amazon Web Service Security Group, od kojih je jedan putem konzole za upravljanje AWS, a drugi način putem sučelja naredbenog retka Amazon Web Service (CLI).
U ovom članku pokazat ću vam kako stvoriti sigurnosnu grupu iz AWS upravljačke konzole.
- Prijavite se na svoj AWS upravljačka konzola.
- Odaberite EC2 uslugu.
- Odaberite "Sigurnosne grupe", to se može naći u kategoriji "Mreža i sigurnost".
- Kliknite gumb "Stvori sigurnosnu grupu".
- Unesite naziv i opis sigurnosne grupe.
- Odaberite svoj odgovarajući VPC.
- Dodajte i konfigurirajte svoja pravila.
Kako konfigurirati i optimizirati svoje AWS sigurnosne grupe
Evo nekoliko savjeta o konfiguriranju novih sigurnosnih grupa u AWS-u i optimizaciji postojećih.
Uklonite Neiskorištene grupe
Možda ste stvorili sigurnosnu grupu za izvođenje testa dok ste pokušali shvatiti kako funkcioniraju sigurnosne grupe. Savjetuje se da uklonite / izbrišete sve neiskorištene sigurnosne grupe.
Omogući upozorenje i praćenje
Amazon Web Services dolazi s izvrsnim alatom nazvanim AWS Cloudtrail koji svojim korisnicima omogućuje praćenje, kontinuirano nadzirati i zadržati aktivnost računa koja se odnosi na radnje izvršene u vašem AWS-u infrastruktura.
Izbjegavajte dolazni promet putem 0.0.0.0/0
Kao što je ranije rečeno, upotreba bilo koje vrijednosti 0.0.0.0/0 mora biti zasnovana na potrebi i potpunom razumijevanju onoga što radite.
Međutim, preporučuje se da se toga klonite u potpunosti jer bi to moglo na kraju izložiti osjetljive podatke vanjskom svijetu.
Najbolja je praksa davanje pristupa samo određenim rasponima protokola i luka; ovo osigurava odbacivanje ostalih dolaznih paketa.
Uloge sigurnosnih grupa Amazon Web Services
Kao što sam već spomenuo, sigurnosne su skupine u osnovi virtualni vatrozidi i djeluju kao takvi. Pružanje sigurnosti instanci Amazon Web Service EC2 filtriranjem ulaznog i odlaznog prometa na razini protokola i porta.
Svaka se sigurnosna grupa (čitaj: vatrozid) malo razlikuje od popisa mrežne kontrole pristupa (NACL) jer ne posjeduje pravilo "Zabrani". Što to znači, paketi će se ispustiti ako im nisu dodijeljena posebna pravila.
Prilikom stvaranja Sigurnosne grupe, vaš je primarni cilj ograničiti pristup kako biste mogli pomoći u održavanju ulaznog i izlaznog prometa. Također biste se trebali truditi da svakoj grupi date vrlo prepoznatljivo ime i opis kako biste smanjili šanse za pogreške.
Pravila sigurnosne grupe
Pravila u vašim sigurnosnim grupama Amazon Web Service jednostavno su način filtriranja dopuštenog ulaznog i odlaznog prometa. Možete ih smatrati i načinom odobravanja ili opoziva dolaznog i odlaznog pristupa.
Možete odobriti pristup određenim sigurnosnim skupinama, IPv4 ili IPv4 adresama ili određenom CIDR-u (Besklasno usmjeravanje među domenama) domet.
Evo nekoliko osnovnih pravila sigurnosne grupe:
- Automatsko odredište: Kad god dodate pravilo sigurnosne grupe pomoću sučelja naredbenog retka Amazon Web Service (CLI), AWS automatski postavlja odredišni CIDR blok u kanonski oblik.
- Strogo dolazna pravila: To se odnosi na bilo koji izvor prometa koji se premješta u vaš Virtual Private Cloud VPC. Ti izvori mogu biti druga sigurnosna grupa ili pojedinačna IPv4 ili IPv6 adresa.
- Izlazna pravila: Pravila odlaznih podataka odnose se na odredište za dolazni promet. Mogu se preusmjeriti na drugu sigurnosnu grupu, CIDR blok ili jednu IPv4 ili IPv6 adresu.
Pravila grupe za dolaznu i odlaznu sigurnost sastoje se od pet različitih polja: Izvor, Protokol, Doseg luke & Opis.
Izvor
To je obično prilagođena IP adresa, raspon podmreže ili druga sigurnosna grupa. Također možete odobriti pristup cijelom internetu ako koristite vrijednost "bilo gdje (0.0.0.0/0)".
Korištenje bilo gdje (0.0.0.0/0) vrijednosti mora biti prema potrebi i trebali biste u potpunosti razumjeti u što ulazite.
Protokol
Protokoli obično zadaju TCP i obično su zasjenjeni. Ako pak radite s prilagođenim pravilima koja ste stvorili, možete izmijeniti protokole kako bi odgovarali vašim potrebama.
Doseg luke
Rasponi luka obično su unaprijed popunjeni. Međutim, možete odlučiti raditi s prilagođenim rasponom priključaka po vašem izboru.
Opisi
Ovo je polje u koje umetnete opis pravila koje ste stvorili. Može biti korisno ako to detaljno objasnite.
Amazon Web Service Sigurnosne grupe stavljaju puno snage u vaše ruke, a istovremeno osiguravaju da stvari ostanu na sigurnom.