Група безпеки може здатися дуже простим елементом для розуміння в AWS, але часто важливі моменти і деталі ігноруються або упускаються, що призводить до поганого управління і можливих проблем з безпекою.
Офіційна документація AWS говорить, що група безпеки (SG) працює як віртуальний фаєрвол, контролюючи трафік, який може надходити або виходити з ресурсу, до якого вона асоційована.
Ресурсами можуть бути інстанції EC2, інстанції RDS, балансувальники навантаження тощо.
Основний компонент групи безпеки — це правила, які можуть бути:
Вхідні (Inbound).
Вихідні (Outbound).
Правила складаються з таких елементів:
Протокол — Наприклад, TCP або UDP (та інші).
Порт — Може бути один порт або діапазон, наприклад 80 або 8080–8090.
Джерело (для вхідних правил) або Призначення (для вихідних правил) — IP або діапазон IP, список префіксів, або інша група безпеки.
Приклад правила.
Ключові моменти.
SG є stateful, це означає, що якщо ми дозволяємо правило для входу до ресурсу, за замовчуванням ми дозволяємо і повернення відповіді від ресурсу.
Можна асоціювати кілька SG з одним ресурсом.
За замовчуванням SG можна призначати тільки в межах однієї VPC, однак можна використовувати SG з інших VPC за допомогою функціональності асоціацій VPC.
Не можна робити посилання на fqdn в правилах.
Правила дозволяють лише "Allow" при їх написанні.
При створенні SG, за замовчуванням не дозволено вхідний трафік до тих пір, поки не буде зазначено інше.
Можна робити посилання на інші SG в правилах, якщо існує зв'язок через peering, Transit Gateway і налаштовані відповідні конфігурації.
При створенні VPC створюється SG за замовчуванням, цей SG не можна видалити.
При посиланні на списки префіксів у правилах, в залежності від розміру списку, вони враховуються як одна або кілька правил у SG. Наприклад, якщо список префіксів має 10 записів, SG врахує це як 10 правил.
SG дозволяє за замовчуванням 60 правил для входу та 60 правил для виходу, це можна змінити.
Одну ENI можна асоціювати тільки з 5 SG за замовчуванням, це також можна змінити.
При додаванні або видаленні правил ці зміни застосовуються негайно до асоційованого ресурсу.
Декілька найкращих практик:
У правилах використовуйте діапазони або конкретні IP-адреси, уникайте занадто відкритих правил, таких як 0.0.0.0/0.
Уникайте дозволяти правила з дуже великими діапазонами портів, використовуйте конкретні порти, наприклад 80, 443 тощо.
Уникайте перекритих правил, наприклад дві правила, як ці: tcp 80 192.168.1.5/32 і інше з 80 0.0.0.0/0, у цьому випадку правило з 0.0.0.0/0 має вищий пріоритет.
Уникай використання однієї і тієї ж групи безпеки (SG) для всіх елементів твоєї програми, краще обрати підхід за принципом шарів.
Декілька рекомендацій:
Додавай описи до правил, які додаються до SG, це допоможе тобі мати кращий контроль.
Використовуй теги, це також допоможе в адмініструванні, дозволяючи ідентифікувати всі елементи, що належать до певної області, середовища, програми тощо.
Сподіваюся, цей блог буде корисним при впровадженні рішень у хмарі AWS.
Посилання для довідки:
[
Контролюй трафік до своїх ресурсів AWS за допомогою груп безпеки
Групи безпеки працюють як віртуальні фаєрволи, контролюючи вхідний та вихідний трафік для ресурсів, пов'язаних з VPC, таких як…
docs.aws.amazon.com
](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html?source=post_page-----4fd85443c15c--------------------------------)
Перекладено з: Grupos de Seguridad en AWS.