Minden az Amazon Web Services (AWS) biztonsági csoportjairól

Az Amazon Web Services (AWS) a világ legátfogóbb és legszélesebb körben elfogadott felhőplatformjának számít. Széleskörű és megbízható technológiai infrastruktúrát, skálázható számítási felhőszolgáltatásokat kínálnak, amelyek fogyasztók milliói számára igény szerint mérhető felosztó-kirovó alapon. Természetesen ezzel a kifinomultsággal bizonyos biztonsági aggályok adódhatnak a fogyasztók számára. Ebben a cikkben arról fogok beszélni, hogy mik az Amazon Web Services biztonsági csoportjai, és hogyan lehet őket felhasználni az Ön védelmére EC2 példányok az AWS-en.

Mi az AWS biztonsági csoport?

An amazon Webes szolgáltatás biztonsági csoport egyszerűen egy virtuális tűzfal a példány számára a bejövő és kimenő forgalom ellenőrzésére (szűrésére).

AWS biztonsági csoportok létrehozása

Az Amazon Web Service Security Group létrehozásának többféle módja van, az egyik az AWS felügyeleti konzolon keresztül, egy másik módszer az Amazon Web Service parancssori felületén (CLI) keresztül történik.

Ebben a cikkben bemutatom, hogyan hozhat létre biztonsági csoportot az AWS felügyeleti konzolból.

1. Jelentkezzen be a AWS Management Console.
2. Válassza ki az EC2 szolgáltatást.
3. Válassza a „Biztonsági csoportok” lehetőséget, amely a „Hálózat és biztonság” kategóriában található.
4. Kattintson a „Biztonsági csoport létrehozása” gombra.
5. Írja be a biztonsági csoport nevét és leírását.
6. Válassza ki a megfelelő VPC-t.
7. Adja hozzá és konfigurálja a szabályokat.

Az AWS biztonsági csoportok konfigurálása és optimalizálása

Íme néhány tipp az új biztonsági csoportok konfigurálásához az AWS-ben és a meglévők optimalizálásához.

Távolítsa el a fel nem használt csoportokat

Lehet, hogy létrehozott egy biztonsági csoportot egy teszt futtatásához, miközben megpróbálta kitalálni, hogyan működnek a biztonsági csoportok. Javasoljuk, hogy távolítsa el / törölje a fel nem használt biztonsági csoportokat.

Engedélyezze a riasztást és a nyomkövetést

Az Amazon Web Services az AWS Cloudtrail nevű remek eszközzel érkezik, amely lehetővé teszi a felhasználók számára a nyomon követést, folyamatosan figyelemmel kíséri és megtartja az AWS-ben végrehajtott műveletekhez kapcsolódó fióktevékenységeket infrastruktúra.

Kerülje a bejövő forgalmat a 0.0.0.0/0 csatornán keresztül

Ahogy korán megállapítottuk, a bárhol használt 0.0.0.0/0 érték használatának alapjainak és teljes megértésének kell lennie.

Javasoljuk azonban, hogy ettől maradjon teljesen távol, mert az érzékeny adatokat a külvilág elé tárhatja.

A legjobb gyakorlat, ha csak meghatározott protokoll- és porttartományokhoz adunk hozzáférést; ez biztosítja, hogy más bejövő csomagokat eldobjanak.

Az Amazon Web Services biztonsági csoportok szerepei

Mint már korábban említettem, a biztonsági csoportok alapvetően virtuális tűzfalak, és úgy viselkednek. Biztonságot nyújt az Amazon Web Service EC2 példányának a bejövő és a kimenő forgalom szűrésével mind protokoll, mind port szinten.

Minden biztonsági csoport (olvasható: tűzfal) kissé eltér a hálózati hozzáférés-vezérlési listáktól (NACL), mivel nem rendelkezik „megtagadás” szabálysal. Ez azt jelenti, hogy a csomagok eldobódnak, ha nem rendeltek hozzájuk külön szabályokat.

Biztonsági csoport létrehozásakor elsődleges célja a hozzáférés korlátozása, így elősegítheti a be- és kimenő forgalom fenntartását is. Arra is törekednie kell, hogy minden csoportnak megkülönböztető nevet és leírást adjon a hibák esélyének csökkentése érdekében.

Biztonsági csoport szabályai

Az Amazon Web Service biztonsági csoportjainak szabályai egyszerűen kiszűrhetik a bejövő és a kimenő forgalmat. A bejövő és kimenő hozzáférés engedélyezésének vagy visszavonásának módjának is tekintheti őket.

Hozzáférést adhat meghatározott biztonsági csoportokhoz, IPv4 vagy IPv4 címekhez vagy meghatározott CIDR (Osztály nélküli tartományok közötti útválasztás) hatótávolság.

Íme néhány alapvető biztonsági csoportszabály:

• Automatikus cél: Amikor hozzáad egy biztonsági csoport szabályt az Amazon Web Service parancssori felület (CLI) használatával, az AWS automatikusan kanonikus formára állítja a cél CIDR blokkot.
• Szigorúan bejövő szabályok: Ez vonatkozik a Virtual Private Cloud VPC-be költöző bármely forgalmi forrásra. Ezek a források lehetnek egy másik biztonsági csoport vagy egyetlen IPv4 vagy IPv6 cím.
• Kimenő szabályok: A kimenő szabályok a bejövő forgalom céljával foglalkoznak. Átirányíthatók egy másik biztonsági csoportba, egy CIDR-blokkba vagy egyetlen IPv4- vagy IPv6-címre.

A bejövő és a kimenő biztonsági csoportszabályok öt különböző mezőből állnak: Forrás, Jegyzőkönyv, Port Range & Leírás.

Forrás

Ez általában egy egyéni IP-cím, egy alhálózati tartomány vagy egy másik biztonsági csoport. Hozzáférést biztosíthat a teljes internethez is, ha a „bárhol (0.0.0.0/0)” értéket használja.

A bárhol (0.0.0.0/0) érték használatának szükség szerint kell lennie, és teljesen meg kell értenie, mibe keveredik.

Jegyzőkönyv

A protokollok alapértelmezés szerint a TCP alapértelmezés szerint szürkék. Ha Ön által létrehozott egyéni szabályokkal dolgozik, akkor a protokollokat az igényeinek megfelelően módosíthatja.

Port Range

A porttartományok általában előre vannak kitöltve. Azonban eldöntheti, hogy az Ön által választott egyéni porttartománnyal dolgozik-e.

Leírások

Ez az a mező, ahová beilleszt egy leírást a létrehozott szabályhoz. Hasznos lehet részletesebbé tenni.

Amazon Web Service A biztonsági csoportok sok energiát adnak a kezedbe, miközben biztosítják a dolgok biztonságát.