Viss par Amazon Web Services (AWS) drošības grupām
Cita Noderīga Rokasgrāmata / / August 05, 2021
Amazon Web Services (AWS) tiek uzskatīta par visplašāko un visplašāk pieņemto mākoņu platformu pasaulē. Tie nodrošina plašu un uzticamu tehnoloģiju infrastruktūras klāstu, mērogojamus mākoņdatošanas pakalpojumus, kas pēc pieprasījuma ir pieejami miljoniem patērētāju, izmantojot izmaksu principu. Protams, līdz ar šo izsmalcinātības līmeni patērētājiem varētu būt zināmas drošības problēmas. Šajā rakstā es runāšu par to, kas ir Amazon Web Services drošības grupas un kā tās var izmantot jūsu aizsardzībai EC2 gadījumi AWS.
Satura rādītājs
- 1 Kas ir AWS drošības grupa?
- 2 Kā izveidot AWS drošības grupas
-
3 Kā konfigurēt un optimizēt AWS drošības grupas
- 3.1 Noņemt neizmantotās grupas
- 3.2 Iespējot brīdināšanu un izsekošanu
- 3.3 Izvairieties no ienākošās datplūsmas, izmantojot 0.0.0.0/0
- 4 Amazon Web Services drošības grupu lomas
-
5 Drošības grupas noteikumi
- 5.1 Avots
- 5.2 Protokols
- 5.3 Ostas diapazons
- 5.4 Apraksti
Kas ir AWS drošības grupa?
An Amazon Web pakalpojums drošības grupa ir vienkārši virtuāls ugunsmūris jūsu instancei, lai kontrolētu (filtrētu) ienākošo un izejošo datplūsmu.
Kā izveidot AWS drošības grupas
Ir vairāki veidi, kā izveidot Amazon Web Service Security Group, no kuriem viens ir caur AWS pārvaldības konsoli, vēl viena metode ir, izmantojot Amazon Web Service komandrindas saskarni (CLI).
Šajā rakstā es parādīšu, kā izveidot drošības grupu no AWS pārvaldības konsoles.
- Piesakieties savā AWS pārvaldības konsole.
- Izvēlieties pakalpojumu EC2.
- Atlasiet “Drošības grupas”, to var atrast kategorijā “Tīkls un drošība”.
- Noklikšķiniet uz pogas “Izveidot drošības grupu”.
- Ievadiet drošības grupas nosaukumu un aprakstu.
- Atlasiet atbilstošo VPC.
- Pievienojiet un konfigurējiet kārtulas.
Kā konfigurēt un optimizēt AWS drošības grupas
Šeit ir daži padomi par jaunu drošības grupu konfigurēšanu AWS un esošo optimizēšanu.
Noņemt neizmantotās grupas
Iespējams, esat izveidojis drošības grupu testa veikšanai, mēģinot noskaidrot, kā darbojas drošības grupas. Ieteicams noņemt / izdzēst visas neizmantotās drošības grupas.
Iespējot brīdināšanu un izsekošanu
Amazon Web Services ir aprīkots ar izveicīgu rīku ar nosaukumu AWS Cloudtrail, kas ļauj lietotājiem sekot līdzi, nepārtraukti uzraudzīt un saglabāt konta darbības, kas saistītas ar darbībām, kas veiktas jūsu AWS infrastruktūru.
Izvairieties no ienākošās datplūsmas, izmantojot 0.0.0.0/0
Kā jau minēts agri, 0,0.0.0 / 0 jebkuras vērtības izmantošanai jābūt balstītai uz nepieciešamību un pilnīgai izpratnei par to, ko jūs darāt.
Tomēr ieteicams no tā pilnībā turēties, jo tas var izpaust sensitīvus datus ārpasaulei.
Labākā prakse ir atļaut piekļuvi tikai noteiktiem protokolu un ostu diapazoniem; tas nodrošina, ka citas ienākošās paketes tiks nomestas.
Amazon Web Services drošības grupu lomas
Kā jau minēju iepriekš, drošības grupas būtībā ir virtuāli ugunsmūri un darbojas kā tādas. Nodrošiniet savu Amazon Web Service EC2 instances drošību, filtrējot ienākošo un izejošo datplūsmu gan protokola, gan porta līmenī.
Katra drošības grupa (lasīt: ugunsmūris) nedaudz atšķiras no tīkla piekļuves kontroles sarakstiem (NACL), jo tām nav noteikuma “Noraidīt”. Ko tas nozīmē, paketes tiks izmestas, ja tām netiks piešķirti īpaši noteikumi.
Veidojot drošības grupu, jūsu primārais mērķis ir ierobežot piekļuvi, lai jūs varētu arī palīdzēt uzturēt ienākošo un izejošo trafiku. Jums arī jācenšas katrai grupai piešķirt ļoti atšķirīgu nosaukumu un aprakstu, lai samazinātu kļūdu iespējamību.
Drošības grupas noteikumi
Jūsu Amazon Web Service drošības grupu noteikumi ir vienkārši veids, kā filtrēt atļauto ienākošo un izejošo datplūsmu. Jūs varat arī tos uzskatīt par veidu, kā autorizēt vai atsaukt ienākošo un izejošo piekļuvi.
Jūs varat piešķirt piekļuvi noteiktām drošības grupām, IPv4 vai IPv4 adresēm vai noteiktam CIDR (Bez klases starpdomēnu maršrutēšana) diapazons.
Šeit ir daži pamata drošības grupas noteikumi:
- Automātiskais galamērķis: Ikreiz, kad pievienojat drošības grupas kārtulu, izmantojot Amazon Web Service komandrindas saskarni (CLI), AWS automātiski iestata galamērķa CIDR bloku kanoniskā formā.
- Stingri ienākošie noteikumi: Tas attiecas uz visiem datplūsmas avotiem, kas pārvietojas uz jūsu Virtual Private Cloud VPC. Šie avoti var būt cita drošības grupa vai viena IPv4 vai IPv6 adrese.
- Izejošie noteikumi: Izejošie noteikumi attiecas uz ienākošās satiksmes galamērķi. Tos var novirzīt uz citu drošības grupu, CIDR bloku vai atsevišķu IPv4 vai IPv6 adresi.
Ienākošās un izejošās drošības grupas noteikumi sastāv no pieciem dažādiem laukiem: Avots, Protokols, Ostas diapazons & Apraksts.
Avots
Parasti tā ir pielāgota IP adrese, apakštīkla diapazons vai cita drošības grupa. Varat arī piešķirt piekļuvi visam internetam, ja izmantojat vērtību “jebkur (0.0.0.0/0)”.
Jebkurai vērtībai (0.0.0.0/0) ir jābūt pēc nepieciešamības, un jums vajadzētu pilnībā saprast, ar ko jūs nodarbojaties.
Protokols
Parasti protokolu noklusējums ir TCP, un tie parasti ir pelēki. Tomēr, ja jūs strādājat ar izveidotajiem pielāgotajiem noteikumiem, varat modificēt protokolus atbilstoši savām vajadzībām.
Ostas diapazons
Ostas diapazoni parasti ir iepriekš aizpildīti. Tomēr jūs varat izlemt strādāt ar pielāgotu portu diapazonu pēc savas izvēles.
Apraksti
Šis ir lauks, kurā ievietojat izveidotās kārtulas aprakstu. Var būt noderīgi to detalizēt.
Amazon tīmekļa pakalpojums Drošības grupas nodod daudz enerģijas jūsu rokās, vienlaikus nodrošinot, ka lietas paliek drošas.