iT邦幫忙

2021 iThome 鐵人賽

DAY 3
0
Security

你用雲端,還敢談資安?AWS資安服務佈署之路系列 第 3

Day3:Security Group 簡介與佈建

在AWS SA間流傳著一句俗諺:「SG/NACL鎖的好,資安沒煩惱」。很多在用AWS的用戶常常分不清楚Security Group跟Network Access Control List(NACL)的差異在哪,今天讓我們來好好研究一下什麼是AWS SG。

什麼是Security Group?
Security Group(SG)就是EC2外面一層的流量防火牆,你可以透過設定SG規則來限制流入到Instance的流量(Inbound Traffic/Ingress)以及從Instance的流出的流量(Outbound Traffic/Engress),若您在啟用EC2時,不想要手動設定,也可以使用預設規則。

SG規則
預設的SG規則是限制流入的流量,但流出不限制,若您的公司對於流量控管有嚴格的要求,SG也可以設定限制流出的流量只能到某些您設定的目標位置,以下是一些比較常見設定SG規則的條件:

  • SG規則是透過允許來設定,您無法建立拒絕存取的規則。
  • SG規則可讓您選擇協定(TCP、HTTP、HTTPS、SSH)以及port 號
  • SG是stateful,也就是說今天當您的Instance發出request,當response流量進來的時候不會管SG規則
  • 您可以隨時新增或移除SG規則
  • 您可以套用超過一組的SG規則

如何建立SG
1.找到EC2,在側邊選單找到Network&Security選Security Group
https://ithelp.ithome.com.tw/upload/images/20210915/20124610Z0t5ZiT4qn.png
2.按Create Security Group
https://ithelp.ithome.com.tw/upload/images/20210915/20124610GKjZKQc1Nw.png
3.輸入名稱、敘述以及選擇一個已經建好的VPC
https://ithelp.ithome.com.tw/upload/images/20210915/20124610GbIpv1jS8T.png
4.設定Inbound 規則,選擇port種類、設定來源IP。Outbound 基本上不限制
https://ithelp.ithome.com.tw/upload/images/20210915/20124610MZXll762xn.png
https://ithelp.ithome.com.tw/upload/images/20210915/20124610gtQleecA3T.png
5.最後按下Create Security Group,就完成了,在你建立EC2 Instance時你就可以選擇將此SG附上,如果有發現無法連線的問題也可以來檢查SG的設定是否正確
https://ithelp.ithome.com.tw/upload/images/20210915/20124610Jy9gBRDqgY.png

小結
如同前面所述,只要在使用EC2時有講SG鎖好基本上不會有太大的問題,許多AWS上的資安議題會發生幾乎都是SG設定錯誤或是誤開了某些port讓一些惡意的流量來存取您的資源。


上一篇
Day2:AWS Shared Responsibility Model
下一篇
Day4: Network Access Control List(NACL) 簡介與佈建
系列文
你用雲端,還敢談資安?AWS資安服務佈署之路30

尚未有邦友留言

立即登入留言