GNU/Linux >> Znalost Linux >  >> Linux

Jak vytvořit skupinu zabezpečení (SG) a seznam řízení přístupu k síti (NACL) v AWS

Security Groups (SG) a Network Access Control Lists (NACL) jsou funkce, které jsou součástí Virtual Private Cloud (VPC) v Amazon Web Services (AWS).

SG funguje jako brána firewall pro naši instanci, která řídí nebo omezuje příchozí a odchozí provoz. Když spustíme instanci ve VPC, můžeme instanci přiřadit až pět bezpečnostních skupin. Skupiny zabezpečení jednají na úrovni instance, nikoli na úrovni podsítě. Pokud při spuštění neurčíme konkrétní skupinu, instance se automaticky přiřadí k výchozí skupině zabezpečení VPC.

Do SG můžeme přidat pravidla, která řídí příchozí provoz do instancí, a samostatnou sadu pravidel, která řídí odchozí provoz.

NACL je volitelná vrstva zabezpečení pro VPC, která funguje jako firewall pro řízení provozu do az jedné nebo více podsítí. Můžeme nastavit NACL s pravidly podobnými SG, abychom do podsítě přidali další vrstvu zabezpečení.

Než budete pokračovat ve vytváření SG a NACL, podívejme se na rozdíl mezi oběma.

  1. SG funguje na úrovni instance, zatímco NACL funguje na úrovni podsítě.
  2. Podpora SG povoluje pouze pravidla a podpora NACL povoluje pravidla a odmítne pravidla.
  3. SG vyhodnocuje všechna pravidla před rozhodnutím, zda povolit provoz, a pravidla v NACL jsou při rozhodování o povolení provozu zpracována v číselném pořadí.
  4. SG se použije na instanci pouze v případě, že někdo určí skupinu zabezpečení, zatímco NACL se automaticky použije na všechny instance v podsítích, ke kterým je přidružen.

V tomto článku se podíváme na kroky k vytvoření SG a NACL.

Předpoklady

  1. Účet AWS (vytvořte si jej, pokud jej nemáte). 

Co uděláme?

  1. Přihlaste se do AWS.
  2. Vytvořte skupinu zabezpečení
  3. Vytvořte seznam řízení přístupu k síti.

Přihlaste se do AWS

  1. Kliknutím sem přejdete na přihlašovací stránku AWS.

Když klikneme na výše uvedený odkaz, uvidíme následující webovou stránku, kde se musíme přihlásit pomocí našich přihlašovacích údajů.

Jakmile se úspěšně přihlásíme do AWS, uvidíme hlavní konzoli se všemi službami uvedenými níže.

Vytvořte skupinu zabezpečení

Chcete-li vytvořit SG, klikněte na "Služba" v horní liště nabídky a vyhledejte "VPC" a klikněte na výsledek.

Na hlavním panelu VPC klikněte na "Skupina zabezpečení" z levého panelu a vytvořte svou první skupinu zabezpečení.

Kliknutím na „Vytvořit skupinu zabezpečení“ ji vytvoříte.

Pojmenujte skupinu zabezpečení, která se má vytvořit, spolu s jejím popisem, který vám může pomoci pochopit její účel.

Po vytvoření skupiny zabezpečení se zobrazí následující obrazovka. Kliknutím na odkaz ID skupiny zabezpečení přejděte do SG a přidejte pravidla pro příchozí a odchozí hovory.

Zde klikněte na "Příchozí pravidla" dostupné v dolní nabídce vedle popisu a kliknutím na "Upravit pravidla" přidejte pravidla do této SG.

Můžete si vybrat typ pravidla, které se má přidat, jeho rozsah portů/portů. V části Zdroj můžete vybrat buď „Moje IP“, „Vlastní“ nebo „Kdekoli“, tím se rozhodne o povolení zdroje. Přidejte popis, který pomůže pochopit účel přidaného pravidla. Jakmile jste hotovi s přidáním požadovaného pravidla, klikněte na "Uložit pravidla".

Jak jsme přidali příchozí pravidla, lze přidat i odchozí pravidla.

Vytvoření seznamu řízení přístupu k síti

Chcete-li vytvořit NACL, klikněte na "Network ACL" na levém panelu.

Pojmenujte NACL a vyberte VPC, na které bude tento NACL použit, a klikněte na Vytvořit.

Vyberte NACL, který jste právě vytvořili, a ve spodní nabídce klikněte na "Příchozí pravidla".

Přidejte číslo pravidla, které rozhoduje o prioritě před ostatními pravidly. Nejnižší číslo má nejvyšší prioritu. Zde má první pravidlo prioritu 1 pro port 22 jako Deny. To znamená, že i když má druhé pravidlo Povolit pro všechny (0.0.0.0/0) s nižší prioritou, toto druhé pravidlo nebude mít žádný vliv na zdroj prvního pravidla a bude stále zamítat zdroj prvního pravidla. Buďte velmi opatrní při přidávání pravidel a čísel pravidel k nim. Po přidání všech požadovaných pravidel klikněte na „Vytvořit“.

Při přidávání odchozích pravidel můžete postupovat podle stejných kroků.

Závěr

V tomto článku jsme viděli kroky k vytvoření SG a NACL. Vytvoření SG nebo NACL je velmi snadné, ale buďte velmi opatrní při přidávání pravidel do nich a zejména do NACL.


Linux

  1. Jak spravovat a vypisovat služby v Linuxu

  2. Jak vytvořit a odstranit uživatelskou skupinu v Linuxu

  3. Spravujte skupiny zabezpečení a pravidla

  1. Tajemství Kubernetes – Jak vytvářet, používat a přistupovat k tajemstvím

  2. Jak zobrazit a odstranit pravidla iptables – seznam a vyprázdnění

  3. Jak mohu řídit řazení síťových rozhraní?

  1. Jak vytvořit a přidat svazek EBS v instanci AWS (EC2)

  2. Jak vytvářet a spravovat seznamy adresátů v cPanel

  3. Jak vypsat skupiny v Linuxu