Як карыстальнік Amazon Web Services (AWS), важна разумець, як працуюць групы бяспекі і перадавога вопыту для іх наладжвання.
Групы бяспекі дзейнічаюць як брандмаўэр для вашых асобнікаў AWS, кантралюючы ўваходны і выходны трафік да вашых асобнікаў.
У гэтым паведамленні ў блогу мы абмяркуем чатыры важныя лепшыя практыкі групы бяспекі, якіх вы павінны прытрымлівацца, каб захаваць свае даныя ў бяспецы.
Пры стварэнні групы бяспекі вам трэба будзе паказаць назву і апісанне. Імя можа быць любым, але апісанне важна, бо яно дапаможа вам успомніць прызначэнне групы бяспекі ў далейшым. Пры наладжванні правілаў групы бяспекі вам трэба будзе пазначыць пратакол (TCP, UDP або ICMP), дыяпазон партоў, крыніцу (у любым месцы або пэўны IP-адрас), і дазволіць ці забараніць трафік. Важна дазваляць трафік толькі з надзейных крыніц, якія вы ведаеце і чакаеце.
Якія чатыры найбольш распаўсюджаныя памылкі пры наладжванні груп бяспекі?
Адна з найбольш распаўсюджаных памылак, якія дапускаюцца пры наладжванні груп бяспекі, - гэта забыванне дадаць відавочнае правіла забараніць усё.
Па змаўчанні AWS дазволіць увесь трафік, калі няма відавочнага правіла, якое забараняе яго. Гэта можа прывесці да выпадковай уцечкі даных, калі вы не будзеце асцярожныя. Заўсёды не забывайце дадаваць правіла забараніць усё ў канцы канфігурацыі вашай групы бяспекі, каб гарантаваць, што толькі той трафік, які вы яўна дазволілі, зможа дасягнуць вашых асобнікаў.
Яшчэ адна распаўсюджаная памылка - выкарыстанне празмерна дазвольных правілаў.
Напрыклад, не рэкамендуецца дазваляць увесь трафік праз порт 80 (порт па змаўчанні для вэб-трафіку), бо гэта робіць ваш асобнік адкрытым для атакі. Калі магчыма, паспрабуйце быць як мага больш дакладнымі пры наладжванні правілаў групы бяспекі. Дазваляйце толькі той трафік, які вам абсалютна неабходны, і нічога больш.
Важна падтрымліваць свае групы бяспекі ў актуальным стане.
Калі вы ўносіце змены ў сваё прыкладанне або інфраструктуру, не забудзьцеся адпаведна абнавіць правілы групы бяспекі. Напрыклад, калі вы дадаеце новую службу ў свой асобнік, вам трэба будзе абнавіць правілы групы бяспекі, каб дазволіць трафік да гэтай службы. Калі гэтага не зрабіць, ваш асобнік можа стаць уразлівым для нападаў.
Нарэшце, пазбягайце выкарыстання занадта вялікай колькасці дыскрэтных груп бяспекі.
Вы хочаце звесці да мінімуму колькасць асобных груп бяспекі. Узлом уліковага запісу можа адбыцца па розных прычынах, адна з якіх - няправільная налада групы бяспекі. Прадпрыемствы могуць абмежаваць рызыку няправільнай канфігурацыі ўліковага запісу, скараціўшы колькасць асобных груп бяспекі.
Выконваючы гэтыя чатыры важныя лепшыя практыкі, вы можаце дапамагчы захаваць свае даныя AWS у бяспецы. Групы бяспекі з'яўляюцца важнай часткай Бяспека AWS, таму абавязкова знайдзіце час, каб зразумець, як яны працуюць, і правільна іх наладзіць.
Дзякуй за чытанне!
У вас ёсць якія-небудзь пытанні ці каментарыі аб групах бяспекі AWS?
Дайце нам ведаць у каментарыях ніжэй або напішыце нам праз contact@hailbytes.com!
І не забудзьцеся сачыць за намі ў Твітэры і Фэйсбуку, каб атрымаць больш карысных парад і рэкамендацый па ўсім, што звязана з вэб-сэрвісамі Amazon.
Да наступнага разу!
