تتعامل AWS مع تكوين جدار الحماية باستخدام مجموعات الأمان. يستخدم كل مثيل EC2 أو خدمة أخرى بواجهة شبكة مرنة (ENI) تكوين مجموعة الأمان الخاصة بك لتحديد الحزم التي سيتم إسقاطها ونوع حركة المرور التي يجب السماح بها.
مجموعات الأمان هي نظام جدار حماية AWS
بشكل أساسي ، مجموعة الأمان عبارة عن تكوين جدار حماية لخدماتك. إنه يحدد المنافذ الموجودة على الجهاز المفتوحة لحركة المرور الواردة ، والتي تتحكم بشكل مباشر في الوظائف المتاحة منه بالإضافة إلى أمان الجهاز.
بشكل افتراضي ، يتم إغلاق كل منفذ. سيكون للعديد من أنظمة جدار الحماية قواعد "رفض" ؛ بدلاً من ذلك ، تحظر AWS كل شيء ما لم تكن هناك قاعدة تسمح له بالتحديد بالمرور. هذا يعني أنه سيتم إسقاط أي حزمة لا تتطابق مع أي قواعد على الفور. لذلك ، إذا كنت ترغب في تشغيل خادم ويب على مثيل EC2 أو ECS ، فستحتاج إلى إنشاء مجموعة أمان تتيح المنفذ 80 والمنفذ 443 عبر جدار الحماية.
ستأتي معظم المثيلات بمجموعة أمان افتراضية جديدة خارج الصندوق ، والتي يمكنك تحريرها بشكل فردي ، ولكن إذا كنت ترغب في ذلك ، يمكنك أيضًا إنشاء مجموعات الأمان الخاصة بك وتطبيقها على حالات متعددة. ثم عند تعديل مجموعة واحدة ، سيتم فتح أو إغلاق المنافذ في جميع الحالات.
كيف تعمل مجموعات الأمان؟
نظرًا لأن نظام جدار الحماية الخاص بـ AWS يحدث في شبكتهم ، فلا داعي للقلق بشأن تكوين
ufw
أو
iptablesبأوامر على كل منها الخادم. يتم التعامل معه على واجهة الشبكة المرنة نفسها ، والتي تربط المثيل بالشبكة.تتعامل ENI مع حركة المرور لـ EC2 والخدمات الأخرى التي تستخدم مثيلات ، مثل ECS و EKS. يمكن أن تحتوي المثيلات أيضًا على معالجات ENI متعددة لاتصالات شبكة مختلفة ، مما يعني أنه يمكن أن يكون لها أيضًا مجموعات أمان متعددة لكل منها.
يمكن أن تحتوي المثيلات أيضًا على مجموعات أمان متعددة لكل واجهة. نظرًا لأن AWS لا ترفض حركة المرور ، فسيتم مضاعفة كل مجموعة أمان ، مما يسمح بالوصول إذا تطابق أي من مجموعات الأمان مع حزمة معينة.
بشكل افتراضي ، تسمح مجموعات الأمان بجميع حركات المرور الصادرة من المثيل الخاص بك. هذا يعني أن لديه وصولاً كاملاً إلى الإنترنت ، وهو عادةً ما تريده ، ولكن في حالة عدم رغبتك ، يمكنك رفض حركة المرور الصادرة أيضًا عن طريق إزالة هذه القاعدة وتحديد نوع حركة المرور التي تريد السماح بها يدويًا.
مجموعات الأمان هي أيضًا ذات حالة. إذا أرسلت طلبًا يخرج من المثيل الخاص بك ، فإن أي حركة مرور عائدة من هذا الطلب يُسمح لها بالعودة بغض النظر عن قواعد الأمان الواردة ، والعكس صحيح للطلبات الواردة والاستجابات الخارجة.
أفضل الممارسات لمجموعات الأمان
نظرًا لأن مجموعات الأمان هي في الغالب مجرد جدران حماية ، فإن أفضل الممارسات المعتادة لخوادم Linux تنطبق هنا. يجب ألا تنشئ مجموعات أمان ذات نطاقات منافذ كبيرة ، لأنها غير ضرورية وتفتح المزيد من المنافذ للهجوم. يجب أن تحافظ على معظم المنافذ مغلقة ، مثل منافذ FTP و CIFS. يجب أن تفكر في إدراج وصول SSH إلى القائمة البيضاء لعناوين IP إدارية محددة ، أو إعداد خادم OpenVPN والوصول إلى القائمة البيضاء لذلك.
نظرًا لأنه يمكنك تطبيق مجموعات الأمان على حالات متعددة ، يجب عليك القيام بذلك حيثما كان ذلك ممكنًا. يمكن أن يؤدي استخدام مجموعات منفصلة لكل حالة على حدة إلى سوء التكوين أو سوء الإدارة. على سبيل المثال ، قد تحتاج إلى إغلاق منفذ بعد تحديث التطبيق. إذا كان لديك عدة خوادم بمجموعات مختلفة ، فقد تنسى إغلاق المنفذ في إحداها.
وبشكل عام ، يجب ألا تسمح بالوصول إلى
0.0.0.0 / 0، أو "جميع عناوين IP" ، ما لم يكن ذلك ضروريًا للغاية. بالنسبة للعديد من الأشياء ، مثل قواعد البيانات ، يجب أن تتركها مغلقة للحالات المحددة التي تحتاج إليها.
العمل مع مجموعات الأمان من وحدة تحكم AWS
يتم التعامل مع تكوين مجموعة الأمان في وحدة الإدارة في AWS EC2. توجه إلى وحدة التحكم EC2 وابحث عن "مجموعات الأمان" ضمن "الشبكات والأمان" في الشريط الجانبي.
يجب أن تشاهد قائمة بجميع مجموعات الأمان المستخدمة حاليًا بواسطة مثيلاتك. يمكنك تعديل الموجودة ، أو إنشاء واحدة جديدة:
التكوين الرئيسي هو ببساطة تعيين القواعد الواردة والصادرة ، في الغالب تمكين حركة مرور واردة محددة حيث يتم تمكين جميع البيانات الصادرة بشكل افتراضي.
أولاً ، ستحتاج إلى تكوين البروتوكول. يمكنك تحديد منافذ TCP / UDP مخصصة ، ولكن هناك أيضًا خيارات محددة مسبقًا لأشياء مثل HTTP وقواعد بيانات معينة. يمكنك أيضًا تحديد ICMP أو البروتوكولات المخصصة بالكامل.
بعد ذلك ، ستحتاج إلى السماح بالوصول من مصدر معين. يمكنك اختيار "Anywhere" الذي سيتركه مفتوحًا ، أو "My IP" الذي سيضيف جهازك الحالي إلى القائمة البيضاء. يمكنك أيضًا تحديد تدوين CIDR مخصص لشبكات فرعية محددة.
إحدى الميزات المفيدة جدًا لوحدة التحكم هي الوصول إلى القائمة البيضاء لمجموعات الأمان الأخرى. هذا يزيل عناء تكوين كتل CIDR أو إضافة عناوين IP يدويًا ؛ سيتم السماح بأي مثيل يستخدم مجموعة الأمان المحددة بواسطة القاعدة.
بعد ذلك ، ستحتاج إلى إعطائها اسمًا ، واختيارًا وصفًا وعلامة.
بعد ذلك ، يمكنك تبديل مثيلاتك أو خدماتك إلى مجموعة الأمان الجديدة. بالنسبة لمثيلات EC2 ، يمكنك القيام بذلك من وحدة التحكم عن طريق النقر بزر الماوس الأيمن وتحديد "Security > Change Security Groups."
