Tutto sui gruppi di sicurezza di Amazon Web Services (AWS)

Amazon Web Services (AWS) è considerata la piattaforma cloud più completa e ampiamente adottata al mondo. Forniscono un'ampia e affidabile gamma di infrastrutture tecnologiche e servizi di cloud computing scalabili che sono on-demand per milioni di consumatori su base pay-as-you-go misurato. Naturalmente, con questo livello di sofisticazione potrebbero derivare alcuni problemi di sicurezza che i consumatori potrebbero avere. In questo articolo, parlerò di cosa sono i gruppi di sicurezza di Amazon Web Services e di come possono essere utilizzati per proteggere il tuo Istanze EC2 su AWS.

Cos'è un gruppo di sicurezza AWS?

Un Amazon Servizio web gruppo di sicurezza è semplicemente un firewall virtuale per la tua istanza per controllare (filtrare) il traffico in entrata e in uscita.

Come creare gruppi di sicurezza AWS

Esistono diversi modi per creare un Amazon Web Service Security Group, uno dei quali è tramite la console di gestione AWS, un altro metodo è tramite l'interfaccia a riga di comando (CLI) di Amazon Web Service.

In questo articolo, ti mostrerò come creare un gruppo di sicurezza dalla console di gestione AWS.

1. Accedi al tuo Console di gestione AWS.
2. Seleziona il servizio EC2.
3. Seleziona "Gruppi di sicurezza", si trova nella categoria "Rete e sicurezza".
4. Fare clic sul pulsante "Crea gruppo di sicurezza".
5. Inserisci il nome e la descrizione del tuo gruppo di sicurezza.
6. Seleziona il VPC corrispondente.
7. Aggiungi e configura le tue regole.

Come configurare e ottimizzare i tuoi gruppi di sicurezza AWS

Ecco alcuni suggerimenti sulla configurazione di nuovi gruppi di sicurezza in AWS e sull'ottimizzazione di quelli esistenti.

Rimuovi i gruppi inutilizzati

Potresti aver creato un gruppo di sicurezza per eseguire un test mentre cercavi di capire come funzionano i gruppi di sicurezza. Si consiglia di rimuovere / eliminare qualsiasi gruppo di sicurezza inutilizzato.

Abilita avvisi e monitoraggio

Amazon Web Services viene fornito con uno strumento intelligente chiamato AWS Cloudtrail che consente ai suoi utenti di tenere traccia, monitorare e conservare continuamente l'attività dell'account relativa alle azioni eseguite nel tuo AWS infrastruttura.

Evita il traffico in entrata tramite 0.0.0.0/0

Come affermato in precedenza, l'utilizzo del valore ovunque 0.0.0.0/0 deve essere basato su una necessità e una comprensione completa di ciò che si sta facendo.

Tuttavia, si consiglia di tenerlo completamente lontano perché potrebbe finire per esporre dati sensibili al mondo esterno.

È buona norma dare accesso solo a protocolli e intervalli di porte specifici; ciò garantisce che gli altri pacchetti in arrivo verranno eliminati.

Ruoli dei gruppi di sicurezza di Amazon Web Services

Come ho detto prima, i gruppi di sicurezza sono fondamentalmente firewall virtuali e agiscono come tali. Fornire sicurezza alla tua istanza Amazon Web Service EC2 filtrando il traffico in entrata e in uscita sia a livello di protocollo che di porta.

Ogni gruppo di sicurezza (leggi: firewall) è leggermente diverso dagli elenchi di controllo di accesso alla rete (NACL) in quanto non dispongono di una regola "Nega". Ciò significa che i pacchetti verranno eliminati se non sono state assegnate regole specifiche.

Quando crei un gruppo di sicurezza, il tuo obiettivo principale è limitare l'accesso in modo da poter anche aiutare a mantenere il traffico in entrata e in uscita. Dovresti anche sforzarti di dare a ciascun gruppo un nome e una descrizione molto distintivi in ​​modo da ridurre le possibilità di errori.

Regole del gruppo di sicurezza

Le regole nei gruppi di sicurezza di Amazon Web Service sono semplicemente un modo per filtrare il traffico in entrata e in uscita consentito. Puoi anche considerarli un modo per autorizzare o revocare l'accesso in entrata e in uscita.

Puoi concedere l'accesso a specifici gruppi di sicurezza, indirizzi IPv4 o IPv4 o CIDR (Routing interdominio senza classi) gamma.

Ecco alcune regole di base del gruppo di sicurezza:

• Destinazione automatica: Ogni volta che aggiungi una regola del gruppo di sicurezza utilizzando l'interfaccia a riga di comando (CLI) di Amazon Web Service, AWS imposta automaticamente il blocco CIDR di destinazione su una forma canonica.
• Regole rigorosamente in entrata: Ciò si applica a qualsiasi sorgente di traffico che si sposta nel VPC del cloud privato virtuale. Queste origini possono essere un altro gruppo di sicurezza o un singolo indirizzo IPv4 o IPv6.
• Regole in uscita: Le regole in uscita riguardano la destinazione del traffico in entrata. Possono essere instradati a un diverso gruppo di sicurezza, un blocco CIDR o un singolo indirizzo IPv4 o IPv6.

Le regole del gruppo di sicurezza in entrata e in uscita comprendono cinque diversi campi: fonte, Protocollo, Port Range & Descrizione.

fonte

Di solito è un indirizzo IP personalizzato, un intervallo di sottorete o un altro gruppo di sicurezza. Puoi anche concedere l'accesso a Internet intero se utilizzi il valore "ovunque (0.0.0.0/0)".

L'utilizzo del valore ovunque (0.0.0.0/0) deve essere effettuato in base alle necessità e dovresti comprendere completamente in cosa ti stai immergendo.

Protocollo

I protocolli normalmente sono impostati su TCP e tendono ad essere disattivati. Tuttavia, se stai lavorando con regole personalizzate che hai creato, puoi modificare i protocolli in base alle tue esigenze.

Port Range

Gli intervalli di porte sono in genere precompilati. Tuttavia, puoi decidere di lavorare con un intervallo di porte personalizzato di tua scelta.

Descrizioni

Questo è il campo in cui inserisci una descrizione per la regola che hai creato. Può essere utile renderlo dettagliato.

Amazon Web Service Security Groups mette molto potere nelle tue mani, assicurando nel contempo che le cose rimangano al sicuro.