Totul despre grupurile de securitate Amazon Web Services (AWS)

Amazon Web Services (AWS) este considerată cea mai cuprinzătoare și mai largă platformă cloud din lume. Acestea oferă o gamă largă și fiabilă de infrastructură tehnologică, servicii de cloud computing scalabile, care sunt la cerere pentru milioane de consumatori, pe bază de plată măsurată. Desigur, cu acest nivel de sofisticare ar putea apărea unele probleme de securitate pe care le-ar putea avea consumatorii. În acest articol, voi vorbi despre ce sunt grupurile de securitate ale serviciilor web Amazon și despre cum pot fi utilizate pentru a vă proteja Instanțe EC2 pe AWS.

Ce este un grup de securitate AWS?

Un Amazon Serviciu web grup de securitate este pur și simplu un paravan de protecție virtual pentru ca instanța dvs. să controleze (să filtreze) traficul de intrare și de ieșire.

Cum să creați grupuri de securitate AWS

Există mai multe modalități de a crea un grup de securitate Amazon Web Service, dintre care una este prin consola de administrare AWS, o altă metodă este prin intermediul interfeței Amazon Line Service Command Line Interface (CLI).

În acest articol, vă voi arăta cum să creați un grup de securitate din consola de administrare AWS.

1. Conectați-vă la Consola de management AWS.
2. Selectați serviciul EC2.
3. Selectați „Grupuri de securitate”, acesta poate fi găsit la categoria „Rețea și securitate”.
4. Faceți clic pe butonul „Creați grup de securitate”.
5. Introduceți numele și descrierea grupului dvs. de securitate.
6. Selectați VPC-ul corespunzător.
7. Adăugați și configurați regulile.

Cum să configurați și să vă optimizați grupurile de securitate AWS

Iată câteva sfaturi despre configurarea noilor grupuri de securitate în AWS și optimizarea celor existente.

Eliminați grupurile neutilizate

Este posibil să fi creat un grup de securitate pentru a rula un test în timp ce încercați să aflați cum funcționează grupurile de securitate. Este recomandat să eliminați / ștergeți orice grup de securitate neutilizat.

Activați Alertarea și urmărirea

Amazon Web Services vine cu un instrument inteligent numit AWS Cloudtrail care permite utilizatorilor să țină evidența, monitorizați continuu și păstrați activitatea contului legată de acțiunile efectuate în AWS infrastructură.

Evitați traficul de intrare prin 0.0.0.0/0

După cum sa menționat mai devreme, utilizarea valorii 0.0.0.0/0 oriunde trebuie să se bazeze pe nevoia de bază și pe o înțelegere completă a ceea ce faceți.

Cu toate acestea, este recomandat să vă țineți departe de acest lucru complet, deoarece ar putea ajunge să expună date sensibile lumii exterioare.

Este cea mai bună practică să oferi acces doar la anumite intervale de protocol și porturi; acest lucru asigură că alte pachete primite vor fi abandonate.

Rolurile grupurilor de securitate ale serviciilor web Amazon

Așa cum am menționat mai devreme, grupurile de securitate sunt practic firewall-uri virtuale și acționează ca atare. Asigurarea securității instanței dvs. Amazon Web Service EC2 prin filtrarea traficului de intrare și de ieșire atât la nivel de protocol, cât și la nivel de port.

Fiecare grup de securitate (citiți: firewall) este ușor diferit de listele de control al accesului la rețea (NACL), deoarece nu posedă o regulă „Refuză”. Ceea ce înseamnă acest lucru este că pachetele vor fi renunțate dacă nu li s-au atribuit reguli specifice.

Când creați un grup de securitate, obiectivul dvs. principal este să restricționați accesul, astfel încât să puteți contribui și la menținerea traficului care intră și iese. De asemenea, ar trebui să vă străduiți să dați fiecărui grup un nume și o descriere foarte distincte, astfel încât să reduceți șansele de erori.

Regulile grupului de securitate

Regulile din grupurile dvs. de securitate ale serviciului web Amazon sunt pur și simplu un mod de filtrare a traficului de intrare și de ieșire permis. Le puteți considera, de asemenea, o modalitate de autorizare sau revocare a accesului de intrare și de ieșire.

Puteți acorda acces la anumite grupuri de securitate, adrese IPv4 sau IPv4 sau CIDR specifice (Rutare inter-domenii fără clasă) gamă.

Iată câteva reguli de bază ale grupului de securitate:

• Destinație automată: Ori de câte ori adăugați o regulă de grup de securitate utilizând interfața de linie de comandă Amazon Web Service (CLI), AWS setează automat blocul CIDR de destinație la o formă canonică.
• Reguli strict introduse: Acest lucru se aplică oricărei surse de trafic care se deplasează în VPC-ul dvs. Virtual Private Cloud. Aceste surse pot fi un alt grup de securitate sau o singură adresă IPv4 sau IPv6.
• Reguli de ieșire: Regulile de ieșire se referă la destinația pentru traficul primit. Ele pot fi direcționate către un alt grup de securitate, un bloc CIDR sau o singură adresă IPv4 sau IPv6.

Regulile grupului de securitate de intrare și de ieșire cuprinde cinci câmpuri diferite: Sursă, Protocol, Port Range & Descriere.

Sursă

Aceasta este de obicei o adresă IP personalizată, o gamă de subrețea sau un alt grup de securitate. De asemenea, puteți acorda acces la întregul internet dacă utilizați valoarea „oriunde (0.0.0.0/0)”.

Utilizarea valorii oriunde (0.0.0.0/0) trebuie să se facă după cum este necesar și ar trebui să înțelegeți complet în ce vă îndreptați.

Protocol

Protocoalele sunt de obicei implicite TCP și au tendința de a fi în gri. Cu toate acestea, dacă lucrați cu reguli personalizate pe care le-ați creat, puteți modifica protocoalele pentru a se potrivi nevoilor dvs.

Port Range

Intervalele de porturi sunt de obicei preumplute. Cu toate acestea, puteți decide să lucrați cu o gamă de porturi personalizate la alegere.

Descrieri

Acesta este câmpul în care introduceți o descriere pentru regula pe care ați creat-o. Poate fi de ajutor să fie detaliat.

Serviciul web Amazon Grupurile de securitate vă pune multă putere în mâinile dvs., asigurându-vă tot timpul că lucrurile rămân în siguranță.