Múltiples grupos de seguridad EC2: ¿permisivos o restrictivos?

27

¿Qué sucede cuando asigno múltiples grupos de seguridad a una instancia? ¿Es permisivo en el sentido de que se permite el tráfico si alguno de los grupos de seguridad lo permite? ¿O es restrictivo en el sentido de que cada grupo de seguridad debe permitir que el tráfico pase?

Por ejemplo, supongamos que tengo una clase de instancias que solo hablarán con otras instancias en la misma cuenta. También tengo una clase de instancias que solo aceptarán tráfico a través de HTTP (puerto 80).

¿Es posible restringir el acceso a instancias internas y solo a través de HTTP creando y aplicando dos grupos de seguridad:

  1. Un grupo de seguridad "interno". Permitir todo el tráfico de otros miembros de ese grupo de seguridad en todos los puertos para todos los transportes (TCP, UDP, ICMP)
  2. Cree un grupo de seguridad "http". Permita todo el tráfico en el puerto 80 a través de TCP desde cualquier fuente.

¿O me veo obligado a crear un solo grupo de seguridad que permita el tráfico desde el puerto 80 donde está la fuente?

amazon-ec2  amazon-web-services 
SFun28
fuente

Respuestas:

5

Si una instancia tiene varios grupos de seguridad, tiene la suma de todas las reglas en los distintos grupos.

Por ejemplo, supongamos que tengo una clase de instancias que solo hablarán con otras instancias en la misma cuenta. También tengo una clase de instancias que solo aceptarán tráfico a través de http (puerto 80).

Esta es una situación perfecta para AWS Virtual Private Cloud. Coloque las instancias internas en subredes privadas y las instancias públicas en subredes públicas.

ceejayoz
fuente
ceejayoz - Entonces, ¿es el caso "restrictivo"? ¿Significa que la solución de dos grupos de seguridad funcionaría? De acuerdo sobre la solución VPC; mi ejemplo fue más para entender cómo funcionan los grupos múltiples. ¿Dónde encontraste la respuesta por cierto?
SFun28
Desea un grupo de seguridad para instancias internas y otro para las instancias públicas. Agregar el grupo público 80: 0.0.0.0/0 a instancias internas los pondría a disposición del público en Internet.
ceejayoz
1
Solo para ser súper claro, ¿estás diciendo que se permite el tráfico si alguno de los grupos de seguridad individuales lo permite? Su comentario sobre la "suma de todas las reglas" me desanima porque cuando pienso en la suma, pienso Y en lugar de OR.
SFun28
2
Sí, si alguno de los grupos aplicados a una instancia lo permite, está permitido. Las reglas de grupo se ORED juntas, no ANDed.
ceejayoz
77
¿Por qué la gente no puede responder la pregunta en lugar de insertar su idea de lo que debe hacerse? Si vas a hacer eso, al menos responde correctamente la pregunta primero. Jeez
Bill Rosmus
3

Aquí está la respuesta del soporte de documentación de AWS. Dijeron que actualizarían la documentación:

Encontré un par de publicaciones en foros de discusión que abordan problemas similares con reglas en conflicto dentro de uno o más grupos de seguridad:

https://forums.aws.amazon.com/thread.jspa?messageID=221768

https://forums.aws.amazon.com/thread.jspa?messageID=349244吼

Cuando se aplican múltiples grupos de seguridad a una instancia, las reglas se agregan para crear un gran conjunto de reglas. En EC2, las reglas del grupo de seguridad solo son permisivas, en otras palabras, no puede agregar ninguna regla DENY. Lo que esto significa es que siempre se aplicará la regla más permisiva. Por ejemplo, si tiene un grupo de seguridad que permite el acceso al puerto 22 desde la dirección IP 10.10.10.10, y otro grupo de seguridad que permite el acceso al puerto 22 desde todos, todos tendrán acceso al puerto 22 en la instancia.

SFun28
fuente
0

Cuando especifica un grupo de seguridad como origen o destino para una regla, la regla afecta a todas las instancias asociadas con el grupo de seguridad. El tráfico entrante se permite en función de las direcciones IP privadas de las instancias asociadas con el grupo de seguridad de origen (y no las direcciones IP pública o IP elástica). Para obtener más información sobre las direcciones IP, consulte Direccionamiento IP de instancias de Amazon EC2. Si la regla de su grupo de seguridad hace referencia a un grupo de seguridad en una VPC par, y el grupo de seguridad referenciado o la conexión de par VPC se elimina, la regla se marca como obsoleta. Para obtener más información, consulte Trabajar con reglas de grupo de seguridad obsoletas en la Guía de emparejamiento de Amazon VPC.

Si hay más de una regla para un puerto específico, aplicamos la regla más permisiva. Por ejemplo, si tiene una regla que permite el acceso al puerto TCP 22 (SSH) desde la dirección IP 203.0.113.1 y otra regla que permite el acceso al puerto TCP 22 desde todos, todos tienen acceso al puerto TCP 22.

Cuando asocia varios grupos de seguridad con una instancia, las reglas de cada grupo de seguridad se agregan efectivamente para crear un conjunto de reglas. Utilizamos este conjunto de reglas para determinar si se permite el acceso.

Precaución Debido a que puede asignar múltiples grupos de seguridad a una instancia, una instancia puede tener cientos de reglas que se aplican. Esto puede causar problemas cuando accede a la instancia. Por lo tanto, le recomendamos que condense sus reglas tanto como sea posible.

usuario377934
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.