Все о группах безопасности Amazon Web Services (AWS)

Amazon Web Services (AWS) считается самой всеобъемлющей и широко применяемой облачной платформой в мире. Они предоставляют широкий и надежный спектр технической инфраструктуры, масштабируемых сервисов облачных вычислений, которые доступны по запросу миллионам потребителей с оплатой по мере использования. Конечно, с таким уровнем сложности могут возникнуть некоторые проблемы с безопасностью, которые могут возникнуть у потребителей. В этой статье я расскажу о том, что такое группы безопасности Amazon Web Services и как их можно использовать для защиты вашего Инстансы EC2 на AWS.

Что такое группа безопасности AWS?

An Amazon Веб-сервис группа безопасности - это просто виртуальный брандмауэр для вашего экземпляра для управления (фильтрации) входящего и исходящего трафика.

Как создать группы безопасности AWS

Существует несколько способов создания группы безопасности Amazon Web Service, один из которых - через консоль управления AWS, другой - через интерфейс командной строки Amazon Web Service (CLI).

В этой статье я покажу вам, как создать группу безопасности из консоли управления AWS.

1. Войдите в свой Консоль управления AWS.
2. Выберите сервис EC2.
3. Выберите «Группы безопасности», его можно найти в категории «Сеть и безопасность».
4. Нажмите кнопку «Создать группу безопасности».
5. Введите название и описание вашей группы безопасности.
6. Выберите соответствующий VPC.
7. Добавьте и настройте свои правила.

Как настроить и оптимизировать группы безопасности AWS

Вот несколько советов по настройке новых групп безопасности в AWS и оптимизации существующих.

Удалить неиспользуемые группы

Возможно, вы создали группу безопасности для запуска теста, пытаясь выяснить, как работают группы безопасности. Рекомендуется удалить / удалить любую неиспользуемую группу безопасности.

Включить оповещение и отслеживание

Amazon Web Services поставляется с отличным инструментом AWS Cloudtrail, который позволяет пользователям отслеживать, постоянно отслеживать и фиксировать активность аккаунта, связанную с действиями, выполняемыми в вашем AWS инфраструктура.

Избегайте входящего трафика через 0.0.0.0/0

Как уже говорилось ранее, использование значения Anywhere 0.0.0.0/0 должно быть обусловлено необходимостью и полным пониманием того, что вы делаете.

Однако рекомендуется полностью держаться подальше от этого, поскольку это может привести к раскрытию конфиденциальных данных внешнему миру.

Лучше всего предоставлять доступ только к определенному протоколу и диапазонам портов; это гарантирует, что другие входящие пакеты будут отброшены.

Роли групп безопасности Amazon Web Services

Как я упоминал ранее, группы безопасности - это, по сути, виртуальные брандмауэры и действуют как таковые. Обеспечение безопасности вашего экземпляра Amazon Web Service EC2 за счет фильтрации входящего и исходящего трафика на уровне протокола и порта.

Каждая группа безопасности (читай: брандмауэр) немного отличается от списков контроля доступа к сети (NACL), поскольку они не имеют правила запрета. Это означает, что пакеты будут отброшены, если им не назначены определенные правила.

При создании группы безопасности вашей основной задачей является ограничение доступа, чтобы вы также могли поддерживать входящий и исходящий трафик. Вы также должны стремиться дать каждой группе очень отличительное имя и описание, чтобы снизить вероятность ошибок.

Правила группы безопасности

Правила в группах безопасности Amazon Web Service - это просто способ фильтрации разрешенного входящего и исходящего трафика. Вы также можете рассматривать их как способ авторизации или отмены входящего и исходящего доступа.

Вы можете предоставить доступ к определенным группам безопасности, адресам IPv4 или IPv4 или определенным CIDR (Бесклассовая междоменная маршрутизация) диапазон.

Вот несколько основных правил группы безопасности:

• Автоматическое назначение: Каждый раз, когда вы добавляете правило группы безопасности с помощью интерфейса командной строки (CLI) Amazon Web Service, AWS автоматически устанавливает для целевого блока CIDR каноническую форму.
• Строго входящие правила: Это относится к любому источнику трафика, перемещающемуся в ваш VPC виртуального частного облака. Этими источниками может быть другая группа безопасности или один адрес IPv4 или IPv6.
• Исходящие правила: Исходящие правила касаются пункта назначения для входящего трафика. Их можно направить в другую группу безопасности, блок CIDR или один адрес IPv4 или IPv6.

Правила группы безопасности для входящего и исходящего трафика состоят из пяти различных полей: Источник, Протокол, Диапазон портов & Описание.

Источник

Обычно это настраиваемый IP-адрес, диапазон подсети или другая группа безопасности. Вы также можете предоставить доступ ко всему Интернету, если используете значение «где угодно (0.0.0.0/0)».

Значение Anywhere (0.0.0.0/0) должно использоваться по мере необходимости, и вы должны полностью понимать, во что ввязываетесь.

Протокол

Протоколы обычно по умолчанию являются TCP и обычно неактивны. Однако, если вы работаете с созданными вами настраиваемыми правилами, вы можете изменить протоколы в соответствии со своими потребностями.

Диапазон портов

Диапазоны портов обычно заполняются заранее. Однако вы можете решить работать с настраиваемым диапазоном портов по вашему выбору.

Описания

Это поле, в которое вы вставляете описание созданного вами правила. Может быть полезно сделать его более подробным.

Веб-сервис Amazon Группы безопасности дают вам большую власть, обеспечивая при этом безопасность и сохранность вещей.