Alt om Amazon Web Services (AWS) sikkerhetsgrupper

Amazon Web Services (AWS) regnes som verdens mest omfattende og bredt adopterte skyplattform. De tilbyr et bredt og pålitelig utvalg av teknisk infrastruktur, skalerbare cloud computing-tjenester som er på forespørsel for millioner av forbrukere på en måling av betaling. Selvfølgelig, med dette nivået av raffinement kan det komme noen sikkerhetsproblemer som forbrukerne kan ha. I denne artikkelen vil jeg snakke om hva Amazon Web Services Security Groups er og hvordan de kan brukes til å beskytte din EC2-forekomster på AWS.

Hva er en AWS Security Group?

An Amazon Nettjeneste sikkerhetsgruppe er rett og slett en virtuell brannmur for din instans for å kontrollere (filtrere) innkommende og utgående trafikk.

Hvordan lage AWS sikkerhetsgrupper

Det er flere måter å opprette en Amazon Web Service Security Group, hvorav den ene er gjennom AWS-administrasjonskonsollen, en annen metode er via Amazon Web Service Command Line Interface (CLI).

I denne artikkelen skal jeg vise deg hvordan du oppretter en sikkerhetsgruppe fra AWS-administrasjonskonsollen.

1. Logg inn på din AWS Management Console.
2. Velg EC2-tjenesten.
3. Velg "Sikkerhetsgrupper", den finner du under kategorien "Nettverk og sikkerhet".
4. Klikk på knappen "Opprett sikkerhetsgruppe".
5. Skriv inn sikkerhetsgruppens navn og beskrivelse.
6. Velg din tilsvarende VPC.
7. Legg til og konfigurer reglene dine.

Hvordan konfigurere og optimalisere AWS sikkerhetsgrupper

Her er noen tips om hvordan du konfigurerer nye sikkerhetsgrupper i AWS, og optimaliserer eksisterende.

Fjern ubrukte grupper

Du har kanskje opprettet en sikkerhetsgruppe for å kjøre en test mens du prøver å finne ut hvordan sikkerhetsgrupper fungerer. Det anbefales at du fjerner / sletter ubrukte sikkerhetsgrupper.

Aktiver varsling og sporing

Amazon Web Services leveres med et smidig verktøy kalt AWS Cloudtrail som gjør det mulig for brukerne å holde styr på, kontinuerlig overvåke og beholde kontoaktivitet knyttet til handlinger utført i AWS infrastruktur.

Unngå innkommende trafikk via 0.0.0.0/0

Som nevnt tidlig, må du bruke hvor som helst 0.0.0.0/0-verdien på et grunnlag og en fullstendig forståelse av hva du gjør.

Det anbefales imidlertid at du holder deg unna dette helt fordi det kan ende opp med å eksponere sensitive data for omverdenen.

Det er best å bare gi tilgang til spesifikke protokoller og portområder; dette sikrer at andre innkommende pakker blir droppet.

Roller til Amazon Web Services Security Groups

Som jeg nevnte tidligere, er sikkerhetsgrupper i utgangspunktet virtuelle brannmurer og fungerer som sådan. Å gi sikkerhet til din Amazon Web Service EC2-forekomst ved å filtrere inn- og utgående trafikk på både protokoll og portnivå.

Hver sikkerhetsgruppe (les: brannmur) er litt annerledes enn Network Access Control Lists (NACL), ettersom de ikke har en "Deny" -regel. Hva dette betyr er at pakker vil bli droppet hvis det ikke var noen spesifikke regler tildelt dem.

Når du oppretter en sikkerhetsgruppe, er ditt primære mål å begrense tilgangen slik at du også kan bidra til å opprettholde hvilken trafikk som går inn og ut. Du bør også strebe etter å gi hver gruppe et veldig særegent navn og beskrivelse for å redusere sjansen for feil.

Sikkerhetsgrupperegler

Regler i Amazon Web Service Security Groups er ganske enkelt en måte å filtrere hva inn- og utgående trafikk er tillatt på. Du kan også vurdere dem som en måte å autorisere eller tilbakekalle innkommende og utgående tilgang på.

Du kan gi tilgang til spesifikke sikkerhetsgrupper, IPv4- eller IPv4-adresser eller spesifikk CIDR (Klasseløs ruting mellom domener) område.

Her er noen grunnleggende sikkerhetsgrupperegler:

• Automatisk destinasjon: Når du legger til en sikkerhetsgrupperegel ved hjelp av Amazon Web Service Command Line Interface (CLI), setter AWS automatisk destinasjons-CIDR-blokken til en kanonisk form.
• Strengt inngående regler: Dette gjelder enhver trafikkilde som flytter inn i Virtual Private Cloud VPC. Disse kildene kan være en annen sikkerhetsgruppe eller en enkelt IPv4- eller IPv6-adresse.
• Utgående regler: Utgående regler håndterer destinasjonen for innkommende trafikk. De kan dirigeres til en annen sikkerhetsgruppe, en CIDR-blokk eller en enkelt IPv4- eller IPv6-adresse.

Innkommende og utgående sikkerhet Grupperegler består av fem forskjellige felt: Kilde, Protokoll, Port Range & Beskrivelse.

Kilde

Dette er vanligvis en egendefinert IP-adresse, et delnettområde eller en annen sikkerhetsgruppe. Du kan også gi tilgang til hele internett hvis du bruker verdien ”hvor som helst (0.0.0.0/0)”.

Å bruke hvor som helst (0.0.0.0/0) -verdien må være etter behov, og du bør helt forstå hva du går inn i.

Protokoll

Protokoller er vanligvis standard for TCP og har en tendens til å bli nedtonet. Hvis du jobber med tilpassede regler du opprettet, kan du imidlertid endre protokollene for å dekke dine behov.

Port Range

Portområder er vanligvis forhåndsutfylt. Du kan imidlertid bestemme deg for å jobbe med et tilpasset portområde du ønsker.

Beskrivelser

Dette er feltet der du setter inn en beskrivelse for regelen du har opprettet. Det kan være nyttig å gjøre det detaljert.

Amazon Web Service Sikkerhetsgrupper legger mye krefter i hendene dine, samtidig som du sørger for at ting holder seg trygge.