Più gruppi di sicurezza EC2: permissivi o restrittivi?

27

Cosa succede quando assegno più gruppi di sicurezza a un'istanza? È permissivo nel senso che il traffico è consentito se uno dei gruppi di sicurezza lo consente. OPPURE è restrittivo nel senso che ogni gruppo di sicurezza deve consentire il passaggio del traffico affinché esso venga trasmesso?

Ad esempio, supponiamo che io abbia una classe di istanze che parlerà solo con altre istanze nello stesso account. Ho anche una classe di istanze che accetteranno il traffico solo tramite HTTP (porta 80).

È possibile limitare l'accesso alle istanze interne e solo tramite HTTP creando e applicando due gruppi di sicurezza:

  1. Un gruppo di sicurezza "interno". Consentire tutto il traffico proveniente da altri membri di quel gruppo di sicurezza su tutte le porte per tutti i trasporti (TCP, UDP, ICMP)
  2. Creare un gruppo di sicurezza "http". Consentire tutto il traffico sulla porta 80 tramite TCP da qualsiasi origine.

O sono costretto a creare un singolo gruppo di sicurezza che consenta il traffico dalla porta 80 dove si trova l'origine?

amazon-ec2  amazon-web-services 
SFun28
fonte

Risposte:

5

Se un'istanza ha più gruppi di sicurezza, ha la somma di tutte le regole nei vari gruppi.

Ad esempio, supponiamo che io abbia una classe di istanze che parlerà solo con altre istanze nello stesso account. Ho anche una classe di istanze che accetteranno il traffico solo tramite http (porta 80).

Questa è una situazione perfetta per AWS Virtual Private Cloud. Inserire le istanze interne nelle subnet private e le istanze rivolte al pubblico nelle subnet pubbliche.

ceejayoz
fonte
ceejayoz - Quindi è il caso "restrittivo"? Vuoi dire che la soluzione dei due gruppi di sicurezza funzionerebbe? Concordato sulla soluzione VPC; il mio esempio era di più per capire come funzionano più gruppi. A proposito, dove hai trovato la risposta?
SFun28
Vorresti un gruppo di sicurezza per istanze interne e un altro per le istanze rivolte al pubblico. L'aggiunta del gruppo 80: 0.0.0.0/0 rivolto al pubblico alle istanze interne li renderebbe disponibili a Internet pubblico.
Ceejayoz,
1
Giusto per essere chiarissimo, stai dicendo che il traffico viene lasciato entrare se uno dei singoli gruppi di sicurezza lo consente? Sono stato respinto dal tuo commento sulla "somma di tutte le regole" perché quando penso alla somma penso E invece di OR.
SFun28
2
Sì, se uno dei gruppi applicati a un'istanza lo consente, è consentito. Le regole di gruppo sono OR insieme, non AND.
Ceejayoz,
7
perché le persone non possono semplicemente rispondere alla domanda posta invece di inserire la loro idea di cosa dovrebbe essere fatto. Se lo farai, almeno prima rispondi correttamente alla domanda. Cavolo
Bill Rosmus
3

Ecco la risposta dal supporto della documentazione AWS. Dissero che avrebbero aggiornato la documentazione:

Ho trovato un paio di post sul forum di discussione che affrontano problemi simili con regole contrastanti all'interno di uno o più gruppi di sicurezza:

https://forums.aws.amazon.com/thread.jspa?messageID=221768

https://forums.aws.amazon.com/thread.jspa?messageID=349244吼

Quando a un'istanza vengono applicati più gruppi di sicurezza, le regole vengono aggregate per creare un ampio set di regole. In EC2, le regole del gruppo di sicurezza sono permissive, in altre parole, non è possibile aggiungere alcuna regola DENY. Ciò significa che si applicherà sempre la regola più permissiva. Ad esempio, se si dispone di un gruppo di sicurezza che consente l'accesso alla porta 22 dall'indirizzo IP 10.10.10.10 e un altro gruppo di sicurezza che consente l'accesso alla porta 22 da parte di tutti, tutti avranno accesso alla porta 22 sull'istanza.

SFun28
fonte
0

Quando si specifica un gruppo di sicurezza come origine o destinazione di una regola, la regola influisce su tutte le istanze associate al gruppo di sicurezza. Il traffico in entrata è consentito in base agli indirizzi IP privati ​​delle istanze associate al gruppo di sicurezza di origine (e non agli indirizzi IP pubblici o IP elastici). Per ulteriori informazioni sugli indirizzi IP, consultare Indirizzamento IP istanza Amazon EC2. Se la regola del gruppo di sicurezza fa riferimento a un gruppo di sicurezza in un VPC peer e il gruppo di sicurezza di riferimento o la connessione peering VPC viene eliminata, la regola viene contrassegnata come non aggiornata. Per ulteriori informazioni, consulta Utilizzo delle regole del gruppo di sicurezza obsoleto nella Guida peering di Amazon VPC.

Se esiste più di una regola per una porta specifica, applichiamo la regola più permissiva. Ad esempio, se si dispone di una regola che consente l'accesso alla porta TCP 22 (SSH) dall'indirizzo IP 203.0.113.1 e un'altra regola che consente l'accesso alla porta TCP 22 da parte di tutti, tutti hanno accesso alla porta TCP 22.

Quando si associano più gruppi di sicurezza a un'istanza, le regole di ciascun gruppo di sicurezza vengono effettivamente aggregate per creare un insieme di regole. Usiamo questo insieme di regole per determinare se consentire l'accesso.

Attenzione Poiché è possibile assegnare più gruppi di sicurezza a un'istanza, un'istanza può avere centinaia di regole applicabili. Ciò potrebbe causare problemi quando si accede all'istanza. Pertanto, ti consigliamo di condensare il più possibile le tue regole.

user377934
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.