หลายกลุ่มความปลอดภัย EC2 - อนุญาตหรือ จำกัด ?

จะเกิดอะไรขึ้นเมื่อฉันกำหนดกลุ่มความปลอดภัยหลายกลุ่มให้กับอินสแตนซ์ อนุญาตหรือไม่ในแง่ที่อนุญาตให้มีการรับส่งข้อมูลหากกลุ่มความปลอดภัยกลุ่มใดกลุ่มหนึ่งอนุญาต หรือมีข้อ จำกัด ในแง่ที่ว่ากลุ่มความปลอดภัยทุกกลุ่มจะต้องอนุญาตให้มีการรับส่งข้อมูลหรือไม่

ตัวอย่างเช่นสมมติว่าฉันมีคลาสอินสแตนซ์ที่จะพูดคุยกับอินสแตนซ์อื่นในบัญชีเดียวกันเท่านั้น ฉันยังมีคลาสอินสแตนซ์ที่ยอมรับเฉพาะทราฟฟิกผ่าน HTTP (พอร์ต 80)

เป็นไปได้หรือไม่ที่จะ จำกัด การเข้าถึงอินสแตนซ์ภายในและผ่าน HTTP เท่านั้นโดยการสร้างและใช้กลุ่มความปลอดภัยสองกลุ่ม:

1. กลุ่มความปลอดภัย "ภายใน" อนุญาตการรับส่งข้อมูลทั้งหมดจากสมาชิกคนอื่น ๆ ของกลุ่มความปลอดภัยนั้นในพอร์ตทั้งหมดสำหรับการขนส่งทั้งหมด (TCP, UDP, ICMP)
2. สร้างกลุ่มความปลอดภัย "http" อนุญาตให้ทราฟฟิกทั้งหมดเข้าสู่พอร์ต 80 ผ่าน TCP จากแหล่งใดก็ได้

หรือฉันถูกบังคับให้สร้างกลุ่มรักษาความปลอดภัยกลุ่มเดียวที่อนุญาตทราฟฟิกจากพอร์ต 80 ซึ่งแหล่งที่มานั้นเป็นของตัวเอง

หากอินสแตนซ์มีกลุ่มความปลอดภัยหลายกลุ่มจะมีผลรวมของกฎทั้งหมดในกลุ่มต่างๆ

ตัวอย่างเช่นสมมติว่าฉันมีคลาสอินสแตนซ์ที่จะพูดคุยกับอินสแตนซ์อื่นในบัญชีเดียวกันเท่านั้น ฉันยังมีคลาสอินสแตนซ์ที่ยอมรับเฉพาะทราฟฟิกผ่าน http (พอร์ต 80)

นี่เป็นสถานการณ์ที่สมบูรณ์แบบสำหรับ AWS Virtual Private Cloud วางอินสแตนซ์ภายในไว้ในซับเน็ตส่วนตัวและอินสแตนซ์สาธารณะหันเข้าหาซับเน็ตสาธารณะ

อนุญาต

ตาม AWS ที่นี่: http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#security-group-rules

หากมีมากกว่าหนึ่งกฎสำหรับพอร์ตเฉพาะเราจะใช้กฎที่อนุญาตมากที่สุด ตัวอย่างเช่นถ้าคุณมีกฎที่อนุญาตให้เข้าถึงพอร์ต TCP 22 (SSH) จากที่อยู่ IP 203.0.113.1 และกฎอื่นที่อนุญาตให้เข้าถึงพอร์ต TCP 22 จากทุกคนทุกคนสามารถเข้าถึงพอร์ต TCP 22 ได้

นี่คือคำตอบจากการสนับสนุนเอกสาร AWS พวกเขากล่าวว่าพวกเขาจะอัพเดทเอกสาร:

ฉันพบโพสต์ในฟอรัมการสนทนาสองสามข้อที่จัดการปัญหาที่คล้ายกันกับกฎที่ขัดแย้งกันภายในกลุ่มความปลอดภัยหนึ่งกลุ่มขึ้นไป:

https://forums.aws.amazon.com/thread.jspa?messageID=221768

https://forums.aws.amazon.com/thread.jspa?messageID=349244吼

เมื่อกลุ่มความปลอดภัยหลายกลุ่มถูกนำไปใช้กับอินสแตนซ์กฎจะถูกรวมเพื่อสร้างกฎชุดใหญ่หนึ่งชุด ใน EC2 กฎความปลอดภัยกลุ่มได้รับอนุญาตเท่านั้นกล่าวอีกนัยหนึ่งคุณไม่สามารถเพิ่มกฎ DENY ใด ๆ ได้ สิ่งนี้หมายความว่ากฎที่อนุญาตที่สุดจะมีผลบังคับใช้เสมอ ตัวอย่างเช่นหากคุณมีกลุ่มความปลอดภัยที่อนุญาตให้เข้าถึงพอร์ต 22 จากที่อยู่ IP 10.10.10.10 และกลุ่มความปลอดภัยอื่นที่อนุญาตให้เข้าถึงพอร์ต 22 จากทุกคนทุกคนจะสามารถเข้าถึงพอร์ต 22 ได้จากอินสแตนซ์

เมื่อคุณระบุกลุ่มความปลอดภัยเป็นแหล่งที่มาหรือปลายทางสำหรับกฎกฎจะมีผลกับอินสแตนซ์ทั้งหมดที่เกี่ยวข้องกับกลุ่มความปลอดภัย การรับส่งข้อมูลขาเข้าได้รับอนุญาตตามที่อยู่ IP ส่วนตัวของอินสแตนซ์ที่เกี่ยวข้องกับกลุ่มความปลอดภัยของแหล่งที่มา (ไม่ใช่ IP สาธารณะหรือที่อยู่ IP แบบยืดหยุ่น) สำหรับข้อมูลเพิ่มเติมเกี่ยวกับที่อยู่ IP โปรดดูการกำหนดที่อยู่ IP ของ Amazon EC2 หากกฎกลุ่มความปลอดภัยของคุณอ้างอิงถึงกลุ่มความปลอดภัยในเพียร์ VPC และกลุ่มความปลอดภัยที่อ้างอิงหรือการเชื่อมต่อ peering VPC แบบอ้างอิงจะถูกลบกฎนั้นจะถูกทำเครื่องหมายว่าเก่า สำหรับข้อมูลเพิ่มเติมโปรดดูที่การทำงานกับกฎกลุ่มความปลอดภัยของ Stale ใน Amazon Peering Guide

หากมีมากกว่าหนึ่งกฎสำหรับพอร์ตเฉพาะเราจะใช้กฎที่อนุญาตมากที่สุด ตัวอย่างเช่นถ้าคุณมีกฎที่อนุญาตให้เข้าถึงพอร์ต TCP 22 (SSH) จากที่อยู่ IP 203.0.113.1 และกฎอื่นที่อนุญาตให้เข้าถึงพอร์ต TCP 22 จากทุกคนทุกคนสามารถเข้าถึงพอร์ต TCP 22 ได้

เมื่อคุณเชื่อมโยงกลุ่มความปลอดภัยหลายกลุ่มกับอินสแตนซ์กฎจากกลุ่มความปลอดภัยแต่ละกลุ่มจะถูกรวมอย่างมีประสิทธิภาพเพื่อสร้างกฎหนึ่งชุด เราใช้กฎชุดนี้เพื่อพิจารณาว่าจะอนุญาตให้เข้าถึงได้หรือไม่

ข้อควรระวังเนื่องจากคุณสามารถกำหนดกลุ่มความปลอดภัยหลายกลุ่มให้กับอินสแตนซ์อินสแตนซ์สามารถมีกฎหลายร้อยข้อที่ใช้ สิ่งนี้อาจทำให้เกิดปัญหาเมื่อคุณเข้าถึงอินสแตนซ์ ดังนั้นเราขอแนะนำให้คุณย่อกฎของคุณให้มากที่สุด