Všetko o bezpečnostných skupinách webových služieb Amazon (AWS)

Amazon Web Services (AWS) je považovaný za najkomplexnejšiu a všeobecne prijatú cloudovú platformu na svete. Poskytujú širokú a spoľahlivú škálu technickej infraštruktúry, škálovateľné cloudové výpočtové služby, ktoré sú na požiadanie miliónom spotrebiteľov na základe metriky pay-as-you-go. S touto úrovňou sofistikovanosti samozrejme môžu prichádzať určité bezpečnostné problémy, ktoré by spotrebitelia mohli mať. V tomto článku budem hovoriť o tom, čo sú skupiny zabezpečenia webových služieb Amazon a ako ich možno použiť na vašu ochranu EC2 inštancie na AWS.

Čo je skupina zabezpečenia AWS?

An Amazon Webová služba

bezpečnostná skupina je jednoducho virtuálny firewall pre vašu inštanciu na kontrolu (filtrovanie) prichádzajúcej a odchádzajúcej prevádzky.

Ako vytvoriť zabezpečovacie skupiny AWS

Existuje niekoľko spôsobov, ako vytvoriť skupinu zabezpečenia webovej služby Amazon, z ktorých jeden je prostredníctvom konzoly na správu AWS, ďalší spôsob je rozhranie príkazového riadku (CLI) služby Amazon Web Service.

V tomto článku vám ukážem, ako vytvoriť skupinu zabezpečenia z konzoly na správu AWS.

1. Prihláste sa do svojho Konzola pre správu AWS.
2. Vyberte službu EC2.
3. Vyberte možnosť „Skupiny zabezpečenia“, ktorú nájdete v kategórii „Sieť a zabezpečenie“.
4. Kliknite na tlačidlo „Vytvoriť skupinu zabezpečenia“.
5. Zadajte názov a popis bezpečnostnej skupiny.
6. Vyberte zodpovedajúci VPC.
7. Pridajte a nakonfigurujte svoje pravidlá.

Ako konfigurovať a optimalizovať vaše skupiny zabezpečenia AWS

Tu je niekoľko tipov na konfiguráciu nových bezpečnostných skupín v AWS a optimalizáciu existujúcich.

Odstráňte nepoužívané skupiny

Možno ste vytvorili skupinu zabezpečenia na vykonanie testu, keď ste sa snažili zistiť, ako skupiny zabezpečenia fungujú. Odporúča sa odstrániť alebo odstrániť všetky nepoužívané skupiny zabezpečenia.

Povoliť varovanie a sledovanie

Amazon Web Services prichádza s šikovným nástrojom s názvom AWS Cloudtrail, ktorý umožňuje svojim používateľom sledovať, nepretržite monitorovať a udržiavať aktivitu na účte súvisiacu s akciami vykonanými vo vašom AWS infraštruktúry.

Vyhnite sa prichádzajúcej komunikácii cez 0.0.0.0/0

Ako už bolo uvedené skôr, použitie hodnoty kdekoľvek 0,0.0.0/0 musí byť nevyhnutne potrebné a je potrebné úplne pochopiť, čo robíte.

Odporúča sa však, aby ste sa tomu úplne vyhýbali, pretože by to mohlo nakoniec vystaviť citlivé údaje vonkajšiemu svetu.

Osvedčeným postupom je poskytovať prístup iba k konkrétnym rozsahom protokolov a portov; to zaisťuje, že ďalšie prichádzajúce pakety budú zrušené.

Úlohy skupín zabezpečenia webových služieb Amazon

Ako som už spomínal, skupiny zabezpečenia sú v podstate virtuálne brány firewall a konajú ako také. Poskytovanie zabezpečenia inštancii Amazon Web Service EC2 filtráciou prichádzajúceho a odchádzajúceho prenosu na úrovni protokolu aj portu.

Každá skupina zabezpečenia (čítaná: brána firewall) sa mierne líši od zoznamov riadenia prístupu k sieti (NACL), pretože nemá pravidlo „Odmietnuť“. To znamená, že pakety budú zahodené, ak im neboli priradené žiadne konkrétne pravidlá.

Pri vytváraní skupiny zabezpečenia je vaším primárnym cieľom obmedzenie prístupu, aby ste tiež mohli pomôcť udržiavať a prenášať prenos. Mali by ste sa tiež snažiť dať každej skupine veľmi rozlišovací názov a popis, aby ste znížili pravdepodobnosť chýb.

Pravidlá skupiny zabezpečenia

Pravidlá vo vašich skupinách zabezpečenia webových služieb Amazon sú jednoduchým spôsobom filtrovania povoleného prichádzajúceho a odchádzajúceho prenosu. Môžete ich tiež považovať za spôsob autorizácie alebo odvolania prichádzajúceho a odchádzajúceho prístupu.

Môžete udeliť prístup ku konkrétnym skupinám zabezpečenia, adresám IPv4 alebo IPv4 alebo špecifickým CIDR (Beztriedne smerovanie medzi doménami) rozsah.

Tu je niekoľko základných pravidiel skupiny zabezpečenia:

• Automatický cieľ: Kedykoľvek pridáte pravidlo skupiny zabezpečenia pomocou rozhrania príkazového riadku Amazon Web Service (CLI), AWS automaticky nastaví cieľový blok CIDR do kanonického tvaru.
• Prísne prichádzajúce pravidlá: To platí pre akýkoľvek zdroj prenosu pohybujúci sa do vášho Virtual Private Cloud VPC. Týmito zdrojmi môžu byť iná skupina zabezpečenia alebo jedna adresa IPv4 alebo IPv6.
• Odchádzajúce pravidlá: Odchádzajúce pravidlá sa zaoberajú cieľom prichádzajúcej premávky. Môžu byť smerované na inú skupinu zabezpečenia, blok CIDR alebo na jednu adresu IPv4 alebo IPv6.

Pravidlá skupiny pre prichádzajúce a odchádzajúce zabezpečenie zahŕňajú päť rôznych polí: Zdroj, Protokol, Rozsah portov & Popis.

Zdroj

Toto je zvyčajne vlastná adresa IP, rozsah podsiete alebo iná skupina zabezpečenia. Môžete tiež povoliť prístup k celému internetu, ak používate hodnotu „kdekoľvek (0.0.0.0/0)“.

Používanie hodnoty kdekoľvek (0.0.0.0/0) musí byť podľa potreby a mali by ste úplne pochopiť, do čoho idete.

Protokol

Protokoly zvyčajne majú predvolený protokol TCP a bývajú sivé. Ak pracujete s vlastnými pravidlami, ktoré ste vytvorili, môžete protokoly upraviť tak, aby vyhovovali vašim potrebám.

Rozsah portov

Rozsahy portov sú zvyčajne vopred vyplnené. Môžete sa však rozhodnúť pracovať s vlastným rozsahom portov podľa vášho výberu.

Popisy

Toto je pole, do ktorého vložíte popis pravidla, ktoré ste vytvorili. Môže byť užitočné urobiť to podrobnejšie.

Webová služba Amazon Skupiny zabezpečenia vložia do vašich rúk veľa energie a zaistia, že veci zostanú v bezpečí.