Поиск по сайту:

Что такое группы безопасности AWS и как их использовать?


AWS обрабатывает конфигурацию брандмауэра с помощью групп безопасности. Каждый экземпляр EC2 или другая служба с гибким сетевым интерфейсом (ENI) использует конфигурацию вашей группы безопасности, чтобы решить, какие пакеты отбрасывать и какой тип трафика следует разрешить.

Группы безопасности — это система брандмауэра AWS

По сути, группа безопасности — это конфигурация брандмауэра для ваших служб. Он определяет, какие порты на машине открыты для входящего трафика, который напрямую контролирует доступные с него функциональные возможности, а также безопасность машины.

По умолчанию все порты закрыты. Многие системы брандмауэров имеют правила «DENY»; Вместо этого AWS блокирует все, если нет правила, специально разрешающего это. Это означает, что любой пакет, который не соответствует ни одному из правил, будет немедленно отброшен. Итак, если вы хотите запустить веб-сервер на своем экземпляре EC2 или ECS, вам необходимо создать группу безопасности, разрешающую порты 80 и 443 через брандмауэр.

Большинство экземпляров поставляются с новой группой безопасности по умолчанию, которую вы можете редактировать по отдельности, но при желании вы также можете создать свои собственные группы безопасности и применить их к нескольким экземплярам. Затем, когда вы редактируете одну группу, она будет открывать или закрывать порты на всех экземплярах.

Как работают группы безопасности?

Поскольку система брандмауэра AWS работает в их сети, вам не нужно беспокоиться о настройке ufw или iptables с командами на каждом сервере. Это обрабатывается на самом эластичном сетевом интерфейсе, который подключает ваш экземпляр к сети. ENI обрабатывают трафик для EC2 и других служб, использующих экземпляры, таких как ECS и EKS. Экземпляры также могут иметь несколько ENI для разных сетевых подключений, что означает, что они также могут иметь несколько групп безопасности для каждого из них.

Экземпляры также могут иметь несколько групп безопасности для каждого интерфейса. Поскольку AWS не блокирует трафик, каждая группа безопасности будет объединена, что позволит получить доступ, если какая-либо из групп безопасности соответствует определенному пакету.

По умолчанию группы безопасности разрешают весь исходящий трафик из вашего экземпляра. Это означает, что у него есть полный доступ в Интернет, что обычно вам нужно, но в случае, если вы этого не сделаете, вы также можете запретить исходящий трафик, удалив это правило и вручную указав, какой трафик вы хотите разрешить.

Группы безопасности также сохраняют состояние. Если вы отправляете запрос, исходящий из вашего экземпляра, любой трафик, возвращаемый из этого запроса, может вернуться независимо от правил безопасности для входящего трафика, и наоборот для входящих запросов и исходящих ответов.

Лучшие практики для групп безопасности

Поскольку группы безопасности в основном представляют собой просто брандмауэры, здесь применяются обычные рекомендации для серверов Linux. Вы не должны создавать группы безопасности с большими диапазонами портов, так как это не нужно и только открывает больше портов для атаки. Вы должны держать большинство портов заблокированными, например порты FTP и CIFS. Вам следует рассмотреть возможность внесения в белый список SSH-доступа к определенным административным IP-адресам или настройки сервера OpenVPN и внесения в белый список доступа к нему.

Поскольку вы можете применять группы безопасности к нескольким экземплярам, вам следует делать это везде, где это возможно. Использование отдельных групп для каждого отдельного экземпляра может привести к неправильной настройке или управлению. Например, может потребоваться закрыть порт после обновления приложения. Если у вас несколько серверов с разными группами, вы можете забыть закрыть порт на одном из них.

И, как правило, вы не должны разрешать доступ к 0.0.0.0/0 или «Всем IP-адресам», если в этом нет крайней необходимости. Для многих вещей, таких как базы данных, вы должны оставить их закрытыми для конкретных экземпляров, которым они нужны.

Работа с группами безопасности из консоли AWS

Конфигурация группы безопасности выполняется в Консоли управления AWS EC2. Перейдите в консоль EC2 и найдите «Группы безопасности» в разделе «Сеть и безопасность» на боковой панели.

Вы должны увидеть список всех групп безопасности, которые в настоящее время используются вашими экземплярами. Вы можете отредактировать существующие или создать новый:

Основная конфигурация — это просто установка правил для входящего и исходящего трафика, в основном включающая определенный входящий трафик, поскольку весь исходящий трафик включен по умолчанию.

Во-первых, вам нужно настроить протокол. Вы можете указать собственные порты TCP/UDP, но есть также предустановленные параметры для таких вещей, как HTTP и определенные базы данных. Вы также можете указать ICMP или полностью настраиваемые протоколы.

Затем вам нужно разрешить доступ из определенного источника. Вы можете выбрать «Везде», чтобы оставить его открытым, или «Мой IP», чтобы добавить в белый список вашу текущую машину. Вы также можете указать пользовательскую нотацию CIDR для определенных подсетей.

Одной из очень полезных функций консоли является внесение в белый список доступа к другим группам безопасности. Это избавляет от необходимости настраивать блоки CIDR или вручную добавлять IP-адреса; любой экземпляр, использующий указанную группу безопасности, будет разрешен правилом.

Кроме того, вам нужно будет дать ему имя и, возможно, описание и тег.

Затем вы можете переключить свои экземпляры или службы в новую группу безопасности. Для экземпляров EC2 вы можете сделать это из консоли, щелкнув правой кнопкой мыши и выбрав «Безопасность > Изменить группы безопасности».