Tudo sobre grupos de segurança da Amazon Web Services (AWS)

Amazon Web Services (AWS) é considerada a plataforma de nuvem mais abrangente e amplamente adotada do mundo. Eles fornecem uma ampla e confiável gama de infraestrutura de tecnologia, serviços de computação em nuvem escaláveis ​​que estão sob demanda para milhões de consumidores em uma base de pagamento conforme o uso. Claro, com esse nível de sofisticação podem surgir algumas preocupações de segurança que os consumidores possam ter. Neste artigo, falarei sobre o que são os Amazon Web Services Security Groups e como eles podem ser usados ​​para proteger o seu Instâncias EC2 na AWS.

O que é um AWS Security Group?

A Amazonas Serviço de internet

grupo de segurança é simplesmente um firewall virtual para sua instância controlar (filtrar) o tráfego de entrada e saída.

Como criar grupos de segurança da AWS

Existem várias maneiras de criar um Amazon Web Service Security Group, uma das quais é por meio do console de gerenciamento da AWS, outro método é por meio da Amazon Web Service Command Line Interface (CLI).

Neste artigo, mostrarei como criar um grupo de segurança a partir do console de gerenciamento da AWS.

1. Faça login no seu AWS Management Console.
2. Selecione o serviço EC2.
3. Selecione “Grupos de segurança”, ele pode ser encontrado na categoria “Rede e segurança”.
4. Clique no botão “Criar Grupo de Segurança”.
5. Insira o nome e a descrição do seu grupo de segurança.
6. Selecione seu VPC correspondente.
7. Adicione e configure suas regras.

Como configurar e otimizar seus grupos de segurança AWS

Aqui estão algumas dicas sobre como configurar novos grupos de segurança na AWS e otimizar os existentes.

Remover grupos não usados

Você pode ter criado um grupo de segurança para executar um teste enquanto tentava descobrir como os grupos de segurança funcionam. É recomendável que você remova / exclua qualquer grupo de segurança não utilizado.

Habilitar alerta e rastreamento

Amazon Web Services vem com uma ferramenta bacana chamada AWS Cloudtrail que permite que seus usuários acompanhem, monitorar e manter continuamente as atividades da conta relacionadas às ações realizadas em seu AWS a infraestrutura.

Evite o tráfego de entrada via 0.0.0.0/0

Conforme declarado anteriormente, o uso do valor 0.0.0.0/0 em qualquer lugar deve ser uma base necessária e um entendimento completo do que você está fazendo.

No entanto, é recomendável evitar isso completamente, pois isso pode acabar expondo dados confidenciais para o mundo exterior.

É uma prática recomendada fornecer acesso apenas a protocolos e intervalos de portas específicos; isso garante que outros pacotes de entrada serão descartados.

Funções dos grupos de segurança do Amazon Web Services

Como mencionei antes, os grupos de segurança são basicamente firewalls virtuais e agem como tal. Fornecendo segurança para sua instância do Amazon Web Service EC2, filtrando o tráfego de entrada e saída nos níveis de protocolo e porta.

Cada grupo de segurança (leia-se: firewall) é ligeiramente diferente das listas de controle de acesso à rede (NACLs), pois não possuem uma regra de “negar”. O que isso significa é que os pacotes serão descartados se não houver regras específicas atribuídas a eles.

Ao criar um grupo de segurança, seu objetivo principal é restringir o acesso para que você também possa ajudar a manter o tráfego que entra e sai. Você também deve se esforçar para dar a cada grupo um nome e uma descrição bem distintos, a fim de reduzir as chances de erros.

Regras do Grupo de Segurança

As regras em seus Amazon Web Service Security Groups são simplesmente uma forma de filtrar o tráfego de entrada e saída permitido. Você também pode considerá-los uma forma de autorizar ou revogar o acesso de entrada e saída.

Você pode conceder acesso a grupos de segurança específicos, endereços IPv4 ou IPv4 ou CIDR específicos (Encaminhamento inter-domínio sem classe) alcance.

Aqui estão algumas regras básicas do grupo de segurança:

• Destino Automático: Sempre que você adiciona uma regra de grupo de segurança usando a interface de linha de comando (CLI) do Amazon Web Service, a AWS define automaticamente o bloco CIDR de destino para um formato canônico.
• Regras estritamente de entrada: Isso se aplica a qualquer origem de tráfego que entra em seu VPC de nuvem privada virtual. Essas origens podem ser outro grupo de segurança ou um único endereço IPv4 ou IPv6.
• Regras de saída: As regras de saída lidam com o destino do tráfego de entrada. Eles podem ser roteados para um grupo de segurança diferente, um bloco CIDR ou um único endereço IPv4 ou IPv6.

Regras de grupo de segurança de entrada e saída compreendem cinco campos diferentes: Fonte, Protocolo, Faixa Portuária & Descrição.

Fonte

Geralmente é um endereço IP personalizado, um intervalo de sub-rede ou outro grupo de segurança. Você também pode conceder acesso a toda a Internet se usar o valor “anywhere (0.0.0.0/0)”.

Usar o valor em qualquer lugar (0.0.0.0/0) deve ser feito conforme a necessidade e você deve entender completamente no que está se metendo.

Protocolo

Os protocolos normalmente são padronizados para TCP e tendem a ficar esmaecidos. No entanto, se estiver trabalhando com regras personalizadas criadas, você pode modificar os protocolos para atender às suas necessidades.

Faixa Portuária

Os intervalos de portas são normalmente preenchidos previamente. No entanto, você pode decidir trabalhar com um intervalo de portas personalizado de sua escolha.

Descrições

Este é o campo onde você insere uma descrição para a regra que você criou. Pode ser útil torná-lo detalhado.

Amazon Web Service O Security Groups coloca muito poder em suas mãos, ao mesmo tempo que garante que as coisas estejam seguras e protegidas.