הכל אודות קבוצות אבטחה של שירותי האינטרנט של אמזון (AWS)

מדריך שימושי אחר   /   by admin   /   August 05, 2021

שירותי האינטרנט של אמזון (AWS) נחשבים לפלטפורמת הענן המקיפה והמאומצת ביותר בעולם. הם מספקים מגוון רחב ואמין של תשתית טכנולוגית, שירותי מחשוב ענן ניתנים להרחבה, שהם לפי דרישה למיליוני צרכנים על בסיס תשלום לפי דרישה. כמובן שעם רמת התחכום הזו עשויים להיות חששות ביטחוניים מסוימים שעלולים להיות לצרכנים. במאמר זה אדבר על מהן קבוצות אבטחה של שירותי האינטרנט של אמזון וכיצד ניתן להשתמש בהן כדי להגן עלייך מופעי EC2 ב- AWS.

הכל אודות קבוצות אבטחה של שירותי האינטרנט של אמזון (AWS)

תוכן עניינים

  • 1 מהי קבוצת אבטחה של AWS?
  • 2 כיצד ליצור קבוצות אבטחה של AWS
  • 3 כיצד להגדיר ולבצע אופטימיזציה של קבוצות האבטחה שלך ב- AWS
    • 3.1 הסר קבוצות שאינן בשימוש
    • 3.2 אפשר התראה ומעקב
    • 3.3 הימנע מתעבורה נכנסת דרך 0.0.0.0/0
  • 4 תפקידים של קבוצות האבטחה של שירותי האינטרנט של אמזון
  • 5 כללי קבוצת אבטחה
    • 5.1 מָקוֹר
    • 5.2 נוהל
    • 5.3 נמל טווח
    • 5.4 תיאורים

מהי קבוצת אבטחה של AWS?

An אֲמָזוֹנָה שירות רשת קבוצת אבטחה הוא פשוט חומת אש וירטואלית למופע שלך לשליטה (סינון) של תעבורה נכנסת ויוצאת.

כיצד ליצור קבוצות אבטחה של AWS

צור קבוצות אבטחה של שירותי האינטרנט של אמזון (AWS)

ישנן דרכים מרובות ליצור קבוצת אבטחת שירותי אינטרנט של אמזון, אחת מהן היא באמצעות קונסולת הניהול של AWS, שיטה אחרת היא באמצעות ממשק שורת הפקודה של Amazon Web Service (CLI).

instagram viewer
קונסולת ניהול AWS
קונסולת ניהול AWS

במאמר זה, אראה לך כיצד ליצור קבוצת אבטחה ממסוף הניהול של AWS.

  1. התחבר אל שלך קונסולת ניהול AWS.
  2. בחר בשירות EC2.
  3. בחר "קבוצות אבטחה", ניתן למצוא אותו בקטגוריה "רשת ואבטחה".
  4. לחץ על הלחצן "צור קבוצת אבטחה".
  5. הזן את שם קבוצת האבטחה והתיאור שלך.
  6. בחר את ה- VPC המתאים שלך.
  7. הוסף והגדר את הכללים שלך.

כיצד להגדיר ולבצע אופטימיזציה של קבוצות האבטחה שלך ב- AWS

להלן מספר טיפים לתצורה של קבוצות אבטחה חדשות ב- AWS ואופטימיזציה של קבוצות קיימות.

הסר קבוצות שאינן בשימוש

ייתכן שיצרת קבוצת אבטחה להפעלת מבחן כשניסית להבין כיצד פועלות קבוצות אבטחה. מומלץ להסיר / למחוק כל קבוצת אבטחה שאינה בשימוש.

אפשר התראה ומעקב

שירותי האינטרנט של אמזון מגיעים עם כלי נוח בשם AWS Cloudtrail המאפשר למשתמשים שלו לעקוב אחריו, לפקח ולשמור באופן רציף על פעילות החשבון הקשורה לפעולות שבוצעו ב- AWS שלך תַשׁתִית.

הימנע מתעבורה נכנסת דרך 0.0.0.0/0

כאמור מוקדם, השימוש בערך 0.0.0.0/0 בכל מקום צריך להיות על בסיס בסיס והבנה מלאה של מה שאתה עושה.

עם זאת, מומלץ להתרחק מכך לחלוטין מכיוון שזה עלול לחשוף נתונים רגישים לעולם החיצון.

זה השיטה הטובה ביותר לתת רק גישה לטווחי פרוטוקולים ויציאות ספציפיים; זה מבטיח שמנות נכנסות אחרות יושמטו.

תפקידים של קבוצות האבטחה של שירותי האינטרנט של אמזון

כמו שציינתי קודם, קבוצות אבטחה הן בעצם חומות אש וירטואליות ופועלות ככאלה. מתן אבטחה למופע ה- EC2 של שירות האינטרנט של אמזון על ידי סינון תעבורה נכנסת ויוצאת ברמות הפרוטוקול והנמל.

כל קבוצת אבטחה (קרא: חומת אש) שונה במקצת מרשימות בקרת הגישה לרשת (NACL) מכיוון שאין להן כלל "דחה". משמעות הדבר היא שחבילות יושמטו אם לא הוקצו להם כללים ספציפיים.

בעת יצירת קבוצת אבטחה, המטרה העיקרית שלך היא להגביל את הגישה כך שתוכל גם לעזור לשמור על התנועה שנכנסת ויוצאת. עליכם לשאוף לתת לכל קבוצה שם ותיאור ייחודיים מאוד כדי להפחית את הסיכוי לשגיאות.

כללי קבוצת אבטחה

כללים בקבוצות האבטחה של שירותי האינטרנט של אמזון הם פשוט דרך לסנן מה מותר לתעבורה נכנסת ויוצאת. אתה יכול גם לראות בהם דרך לאשר או לבטל גישה נכנסת ויוצאת.

ניתן להעניק גישה לקבוצות אבטחה ספציפיות, כתובות IPv4 או IPv4 או CIDR ספציפי (ניתוב בין דומיינים ללא כיתות) טווח.

להלן מספר כללים בסיסיים של קבוצת אבטחה:

  • יעד אוטומטי: בכל פעם שאתה מוסיף כלל קבוצת אבטחה באמצעות ממשק שורת הפקודה של שירות האינטרנט של אמזון (CLI), AWS מגדיר באופן אוטומטי את גוש ה CIDR היעד לצורה קנונית.
  • כללים נכנסים למהדרין: זה חל על כל מקור תנועה שעובר ל- VPC הענן הווירטואלי הפרטי שלך. מקורות אלה יכולים להיות קבוצת אבטחה אחרת או כתובת IPv4 או IPv6 אחת.
  • כללים יוצאים: כללים יוצאים עוסקים ביעד לתנועה נכנסת. ניתן לנתב אותם לקבוצת אבטחה אחרת, לחסימת CIDR או לכתובת IPv4 או IPv6 אחת.

כללי קבוצות אבטחה נכנסים ויוצאים כוללים חמישה תחומים שונים: מָקוֹר, נוהל, נמל טווח & תיאור.

מָקוֹר

זו בדרך כלל כתובת IP מותאמת אישית, טווח רשת משנה או קבוצת אבטחה אחרת. אתה יכול גם להעניק גישה לכל האינטרנט אם אתה משתמש בערך "בכל מקום (0.0.0.0/0)".

השימוש בערך בכל מקום (0.0.0.0/0) צריך להיות על פי הצורך, ואתה צריך להבין לגמרי למה אתה נכנס.

נוהל

פרוטוקולים בדרך כלל כברירת מחדל ל- TCP ונוטים להיות אפורים. אם אתה עובד עם כללים מותאמים אישית שיצרת, עם זאת, תוכל לשנות את הפרוטוקולים כך שיתאימו לצרכים שלך.

נמל טווח

טווחי הנמל ממולאים בדרך כלל מראש. עם זאת, אתה יכול להחליט לעבוד עם טווח יציאות מותאם אישית לבחירתך.

תיאורים

זהו השדה שבו אתה מכניס תיאור לכלל שיצרת. זה יכול להיות מועיל לעשות את זה מפורט.

תיאורי קבוצת האבטחה של AWS

שירות האינטרנט של אמזון קבוצות אבטחה מכניסות כוח רב לידיכם, תוך הבטחה שהדברים נשארים בטוחים ומאובטחים.

ענן תגיות
דֵרוּג
0
צפיות
0
תגובות
YOU MIGHT ALSO LIKE