AWS gestisce la configurazione del firewall utilizzando i gruppi di sicurezza. Ogni istanza EC2 o altro servizio con un'interfaccia di rete elastica (ENI) utilizza la configurazione del gruppo di sicurezza per decidere quali pacchetti eliminare e quale tipo di traffico deve essere consentito.
I gruppi di sicurezza sono il sistema firewall di AWS
Essenzialmente, un gruppo di sicurezza è una configurazione firewall per i tuoi servizi. Definisce quali porte sulla macchina sono aperte al traffico in entrata, che controlla direttamente le funzionalità disponibili da essa e la sicurezza della macchina.
Per impostazione predefinita, ogni porta è chiusa. Molti sistemi firewall avranno “DENY” regole; AWS invece blocca tutto a meno che non ci sia una regola che lo consenta specificamente. Ciò significa che qualsiasi pacchetto che non corrisponde a nessuna regola verrà eliminato immediatamente. Quindi, se desideri eseguire un server Web sulla tua istanza EC2 o ECS, dovrai creare un gruppo di sicurezza che consenta la porta 80 e la porta 443 attraverso il firewall.
La maggior parte delle istanze verrà fornita con un nuovo gruppo di sicurezza predefinito pronto all'uso, che puoi modificare individualmente, ma se lo desideri, puoi anche creare i tuoi gruppi di sicurezza e applicarli a più istanze. Quindi, quando modifichi un gruppo, aprirà o chiuderà le porte su tutte le istanze.
Come funzionano i gruppi di sicurezza?
Poiché il sistema firewall di AWS si trova nella loro rete, non devi preoccuparti di configurare ufw o iptables con comandi su ciascun server. È gestito sull'interfaccia di rete elastica stessa, che connette l'istanza alla rete. Gli ENI gestiscono il traffico per EC2 e altri servizi che utilizzano istanze, come ECS ed EKS. Le istanze possono anche avere più ENI per diverse connessioni di rete, il che significa che possono anche avere più gruppi di sicurezza per ognuna.
Pubblicità
Le istanze possono anche avere più gruppi di sicurezza per ogni interfaccia. Poiché AWS non nega il traffico, ogni gruppo di sicurezza sarà composto, consentendo l'accesso se uno dei gruppi di sicurezza corrisponde a un pacchetto specifico.
Per impostazione predefinita, i gruppi di sicurezza consentono tutto il traffico in uscita dalla tua istanza. Ciò significa che ha accesso completo a Internet, che di solito è ciò che desideri, ma in caso contrario, puoi negare anche il traffico in uscita rimuovendo quella regola e specificando manualmente il tipo di traffico che desideri rilasciare.< /p>
Anche i gruppi di sicurezza sono stateful. Se invii una richiesta in uscita dalla tua istanza, tutto il traffico di ritorno da tale richiesta può rientrare indipendentemente dalle regole di sicurezza in entrata e viceversa per le richieste in entrata e le risposte in uscita.
Best practice per i gruppi di sicurezza
Poiché i gruppi di sicurezza sono per lo più solo firewall, qui si applicano le best practice regolari per i server Linux. Non dovresti creare gruppi di sicurezza con ampi intervalli di porte, poiché non è necessario e apre semplicemente più porte per attaccare. Dovresti mantenere la maggior parte delle porte bloccate, come le porte FTP e CIFS. Dovresti prendere in considerazione la possibilità di inserire nella whitelist l'accesso SSH a IP amministrativi specifici o di configurare un server OpenVPN e di autorizzarne l'accesso.
RELATEDCome configurare un server OpenVPN per proteggere la tua rete
Poiché puoi applicare i gruppi di sicurezza a più istanze, dovresti farlo ove possibile. L'utilizzo di gruppi discreti per ogni singola istanza può causare errori di configurazione o cattiva gestione. Ad esempio, potrebbe essere necessario chiudere una porta dopo un aggiornamento dell'applicazione. Se disponi di più server con gruppi diversi, potresti dimenticare di chiudere la porta su uno di essi.
E, in generale, non dovresti consentire l'accesso a 0.0.0.0/0 o “ Tutti gli indirizzi IP”, a meno che non sia assolutamente necessario. Per molte cose, come i database, dovresti lasciarli chiusi alle istanze specifiche che ne hanno bisogno.
Lavorare con i gruppi di sicurezza dalla console AWS
La configurazione del gruppo di sicurezza viene gestita nella Console di gestione AWS EC2. Vai alla console EC2 e trova “Security Groups” in “Reti e Sicurezza” nella barra laterale.
Annuncio
Dovresti vedere un elenco di tutti i gruppi di sicurezza attualmente in uso dalle tue istanze. Puoi modificare quelli esistenti o crearne uno nuovo:
< p>La configurazione principale consiste semplicemente nell'impostare le regole in entrata e in uscita, abilitando principalmente il traffico in entrata specifico poiché tutto in uscita è abilitato per impostazione predefinita.
Per prima cosa, devi configurare il protocollo. Puoi specificare porte TCP/UDP personalizzate, ma ci sono anche opzioni preimpostate per cose come HTTP e alcuni database. Puoi anche specificare ICMP o protocolli completamente personalizzati.
Quindi, dovrai consentire l'accesso da una fonte specifica. Puoi scegliere “Ovunque” che lo lascerà aperto, o “Il mio IP” che inserirà nella whitelist la tua macchina attuale. Puoi anche specificare una notazione CIDR personalizzata per sottoreti specifiche.
RELAZIONATO: Che cosa sono le sottoreti e come influiscono sulla mia rete?
Una funzionalità molto utile della console è la whitelist dell'accesso ad altri gruppi di sicurezza. Ciò elimina il problema della configurazione dei blocchi CIDR o dell'aggiunta manuale di indirizzi IP; qualsiasi istanza che utilizza il gruppo di sicurezza specificato sarà consentita dalla regola.
Pubblicità
Oltre a ciò, dovrai dargli un nome e, facoltativamente, una descrizione e un tag.
Poi, puoi scambiare le tue istanze o servizi con la nuova sicurezza gruppo. Per le istanze EC2, puoi farlo dalla console facendo clic con il pulsante destro del mouse e selezionando “Sicurezza > Modifica gruppi di sicurezza.”