AWS übernimmt die Firewall-Konfiguration mithilfe von Sicherheitsgruppen. Jede EC2-Instance oder jeder andere Dienst mit einem Elastic Network Interface (ENI) verwendet Ihre Sicherheitsgruppenkonfiguration, um zu entscheiden, welche Pakete verworfen werden und welche Art von Datenverkehr zugelassen werden soll.
Sicherheitsgruppen sind das Firewall-System von AWS
Im Wesentlichen ist eine Sicherheitsgruppe eine Firewall-Konfiguration für Ihre Dienste. Es definiert, welche Ports auf dem Computer für eingehenden Datenverkehr geöffnet sind, was direkt die von ihm verfügbare Funktionalität sowie die Sicherheit des Computers steuert.
Standardmäßig ist jeder Port geschlossen. Viele Firewall-Systeme haben “DENY” Regeln; AWS blockiert stattdessen alles, es sei denn, es gibt eine Regel, die es ausdrücklich erlaubt. Dies bedeutet, dass jedes Paket, das keinen Regeln entspricht, sofort verworfen wird. Wenn Sie also einen Webserver auf Ihrer EC2- oder ECS-Instance ausführen möchten, müssen Sie eine Sicherheitsgruppe erstellen, die Port 80 und Port 443 durch die Firewall durchlässt.
Die meisten Instanzen werden standardmäßig mit einer neuen Standardsicherheitsgruppe geliefert, die Sie einzeln bearbeiten können, aber wenn Sie möchten, können Sie auch Ihre eigenen Sicherheitsgruppen erstellen und auf mehrere Instanzen anwenden. Wenn Sie dann eine Gruppe bearbeiten, werden Ports auf allen Instanzen geöffnet oder geschlossen.
Wie funktionieren Sicherheitsgruppen?
Da das Firewall-System von AWS in ihrem Netzwerk ausgeführt wird, müssen Sie sich nicht um die Konfiguration von ufw oder iptables mit Befehlen auf jedem Server kümmern. Es wird über die Elastic Network Interface selbst gehandhabt, die Ihre Instanz mit dem Netzwerk verbindet. ENIs verarbeiten den Datenverkehr für EC2 und andere Dienste, die Instances verwenden, wie ECS und EKS. Instanzen können auch mehrere ENIs für verschiedene Netzwerkverbindungen haben, was bedeutet, dass sie auch mehrere Sicherheitsgruppen für jede einzelne haben können.
Ankündigung
Instanzen können auch mehrere Sicherheitsgruppen für jede Schnittstelle haben. Da AWS den Datenverkehr nicht ablehnt, wird jede Sicherheitsgruppe zusammengesetzt und ermöglicht den Zugriff, wenn eine der Sicherheitsgruppen für ein bestimmtes Paket übereinstimmt.
Standardmäßig lassen Sicherheitsgruppen den gesamten ausgehenden Datenverkehr von Ihrer Instanz zu. Dies bedeutet, dass es vollen Internetzugang hat, was normalerweise gewünscht ist, aber falls Sie dies nicht tun, können Sie auch ausgehenden Datenverkehr verweigern, indem Sie diese Regel entfernen und manuell angeben, welche Art von Datenverkehr Sie freigeben möchten.< /p>
Sicherheitsgruppen sind ebenfalls zustandsorientiert. Wenn Sie eine Anfrage senden, die von Ihrer Instanz ausgeht, darf der Datenverkehr, der von dieser Anfrage zurückkommt, ungeachtet der Sicherheitsregeln für eingehende Daten zurückkommen, und umgekehrt für eingehende Anfragen und ausgehende Antworten.
p
Best Practices für Sicherheitsgruppen
Da Sicherheitsgruppen meist nur Firewalls sind, gelten hier die regulären Best Practices für Linux-Server. Sie sollten keine Sicherheitsgruppen mit großen Portbereichen erstellen, da dies unnötig ist und nur mehr Ports für Angriffe öffnet. Sie sollten die meisten Ports gesperrt lassen, z. B. FTP- und CIFS-Ports. Sie sollten den SSH-Zugriff auf bestimmte administrative IPs auf eine Whitelist setzen oder einen OpenVPN-Server einrichten und den Zugriff darauf auf eine Whitelist setzen.
RELATEDSo richten Sie einen OpenVPN-Server ein, um Ihr Netzwerk zu sichern
Da Sie Sicherheitsgruppen auf mehrere Instanzen anwenden können, sollten Sie dies nach Möglichkeit tun. Die Verwendung diskreter Gruppen für jede einzelne Instanz kann zu Fehlkonfigurationen oder Missmanagement führen. Beispielsweise müssen Sie möglicherweise einen Port nach einem Anwendungsupdate schließen. Wenn Sie mehrere Server mit unterschiedlichen Gruppen haben, vergessen Sie möglicherweise, den Port auf einem von ihnen zu schließen.
Und im Allgemeinen sollten Sie den Zugriff auf 0.0.0.0/0 oder “ Alle IP-Adressen”, sofern nicht unbedingt erforderlich. Für viele Dinge, wie Datenbanken, sollten Sie diese auf die spezifischen Instanzen schließen, die sie benötigen.
Arbeiten mit Sicherheitsgruppen über die AWS-Konsole
h2>
Die Konfiguration der Sicherheitsgruppe erfolgt in der AWS EC2 Management Console. Gehen Sie zur EC2-Konsole und suchen Sie nach “Sicherheitsgruppen” unter “Netzwerk & Sicherheit” in der Seitenleiste.
Werbung
Das solltest du sehen eine Liste aller Sicherheitsgruppen, die derzeit von Ihren Instanzen verwendet werden. Sie können die vorhandenen bearbeiten oder eine neue erstellen:
< p>Die Hauptkonfiguration besteht einfach darin, Regeln für eingehenden und ausgehenden Datenverkehr festzulegen, wobei hauptsächlich bestimmten eingehenden Datenverkehr aktiviert wird, da der gesamte ausgehende Datenverkehr standardmäßig aktiviert ist.
Zuerst müssen Sie das Protokoll konfigurieren. Sie können benutzerdefinierte TCP/UDP-Ports angeben, aber es gibt auch voreingestellte Optionen für Dinge wie HTTP und bestimmte Datenbanken. Sie können auch ICMP oder vollständig benutzerdefinierte Protokolle angeben.
Anschließend müssen Sie den Zugriff von einer bestimmten Quelle zulassen. Sie können “Überall” wodurch es geöffnet bleibt, oder “Meine IP” wodurch Ihre aktuelle Maschine auf die Whitelist gesetzt wird. Sie können auch eine benutzerdefinierte CIDR-Notation für bestimmte Subnetze angeben.
VERWANDTE: Was sind Subnetze und wie wirken sie sich auf mein Netzwerk aus?
Eine sehr nützliche Funktion der Konsole ist das Whitelisting des Zugriffs auf andere Sicherheitsgruppen. Dadurch entfällt das Konfigurieren von CIDR-Blöcken oder das manuelle Hinzufügen von IP-Adressen. jede Instanz, die die angegebene Sicherheitsgruppe verwendet, wird von der Regel zugelassen.
Werbung
Darüber hinaus müssen Sie ihm einen Namen und optional eine Beschreibung und ein Tag geben.
Dann können Sie Ihre Instanzen oder Dienste auf die neue Sicherheit umstellen Gruppe. Bei EC2-Instances können Sie dies über die Konsole tun, indem Sie mit der rechten Maustaste klicken und “Sicherheit > Sicherheitsgruppen ändern.”