O que são grupos de segurança da AWS e como usá-los?

A AWS lida com a configuração do firewall usando grupos de segurança. Cada instância EC2 ou outro serviço com uma interface de rede elástica (ENI) usa a configuração do seu grupo de segurança para decidir quais pacotes descartar e que tipo de tráfego deve ser permitido.

Grupos de segurança são o sistema de firewall da AWS

Basicamente, um grupo de segurança é uma configuração de firewall para seus serviços. Ele define quais portas na máquina estão abertas para o tráfego de entrada, o que controla diretamente a funcionalidade disponível a partir dele, bem como a segurança da máquina.

Por padrão, todas as portas estão fechadas. Muitos sistemas de firewall terão “ DENY ” as regras; Em vez disso, a AWS bloqueia tudo, a menos que haja uma regra especificamente permitindo sua passagem. Isso significa que qualquer pacote que não corresponda a nenhuma regra será descartado instantaneamente. Portanto, se você deseja executar um servidor da web em sua instância EC2 ou ECS, será necessário criar um grupo de segurança permitindo a porta 80 e a porta 443 por meio do firewall.

A maioria das instâncias virá com um novo grupo de segurança padrão pronto para uso, que você pode editar individualmente, mas se quiser, também pode criar seus próprios grupos de segurança e aplicar -los a várias instâncias. Então, quando você edita um grupo, ele &’ abrirá ou fechará portas em todas as instâncias.

Como funcionam os grupos de segurança?

Como o sistema de firewall da AWS ocorre em sua rede, você não precisa se preocupar em configurar ufw ou iptables com comandos em cada servidor. Ele é tratado na própria Elastic Network Interface, que conecta sua instância à rede. Os ENIs gerenciam o tráfego para EC2 e outros serviços que usam instâncias, como ECS e EKS. As instâncias também podem ter vários ENIs para diferentes conexões de rede, o que significa que também podem ter vários grupos de segurança para cada um.

Publicidade

As instâncias também podem ter vários grupos de segurança para cada interface. Como a AWS não nega tráfego, cada grupo de segurança será composto, permitindo o acesso se qualquer um dos grupos de segurança corresponder a um pacote específico.

Por padrão, os grupos de segurança permitem todo o tráfego de saída de sua instância. Isso significa que ele tem acesso total à Internet, que geralmente é o que você deseja, mas caso não o faça, você também pode negar o tráfego de saída removendo essa regra e especificando manualmente o tipo de tráfego que deseja liberar.

Os grupos de segurança também têm estado. Se você enviar uma solicitação saindo de sua instância, qualquer tráfego que voltar dessa solicitação poderá voltar independentemente das regras de segurança de entrada e vice-versa para solicitações que entram e respostas que saem.

Práticas recomendadas para grupos de segurança

Uma vez que os grupos de segurança são principalmente firewalls, as melhores práticas regulares para servidores Linux se aplicam aqui. Você não deve criar grupos de segurança com grandes intervalos de portas, uma vez que é desnecessário e apenas abre mais portas para ataques. Você deve manter a maioria das portas bloqueadas, como as portas FTP e CIFS. Você deve considerar colocar o acesso SSH na lista de permissões para IPs administrativos específicos ou configurar um servidor OpenVPN e colocar o acesso a ele na lista de permissões.

RELACIONADOComo configurar um servidor OpenVPN para proteger sua rede

Visto que você pode aplicar grupos de segurança a várias instâncias, você deve fazê-lo sempre que possível. O uso de grupos distintos para cada instância individual pode levar à configuração incorreta ou gerenciamento incorreto. Por exemplo, você pode precisar fechar uma porta após uma atualização do aplicativo. Se você tiver vários servidores com grupos diferentes, pode se esquecer de fechar a porta em um deles.

E, em geral, você não deve permitir o acesso a 0.0.0.0/0 ou “ Todos os endereços IP ”, a menos que seja absolutamente necessário. Para muitas coisas, como bancos de dados, você deve deixá-los fechados para as instâncias específicas que precisam deles.

Trabalhando com grupos de segurança no console da AWS

A configuração do grupo de segurança é feita no AWS EC2 Management Console. Vá até o console EC2 e encontre “ Grupos de segurança ” em “ Rede & Segurança ” na barra lateral.

Publicidade

Você deve ver uma lista de todos os grupos de segurança atualmente em uso por suas instâncias. Você pode editar os existentes ou criar um novo:

A configuração principal é simplesmente definir as regras de entrada e saída, permitindo principalmente o tráfego de entrada específico, já que todas as saídas são habilitadas por padrão.

Primeiro, você precisará configurar o protocolo. Você pode especificar portas TCP / UDP personalizadas, mas também existem opções predefinidas para coisas como HTTP e certos bancos de dados. Você também pode especificar protocolos ICMP ou totalmente personalizados.

Então, você &’ precisará permitir o acesso de uma fonte específica. Você pode escolher “ Qualquer lugar ” que o deixará aberto ou “ Meu IP ” que irá permitir sua máquina atual. Você também pode especificar notação CIDR personalizada para sub-redes específicas.

RELACIONADO: o que são sub-redes e como elas afetam minha rede?

Um recurso muito útil do console é permitir o acesso a outros grupos de segurança. Isso facilita a configuração de blocos CIDR ou a adição manual de endereços IP; qualquer instância usando o grupo de segurança especificado será permitida pela regra.

Publicidade

Além disso, você precisará dar um nome e, opcionalmente, uma descrição e tag.

Então, você pode trocar suas instâncias ou serviços para o novo grupo de segurança. Para instâncias EC2, você pode fazer isso no console clicando com o botão direito e selecionando “ Segurança > Alterar grupos de segurança. ”