EC2 - os grupos de segurança devem ser especializados e empilhados?

Question

EC2 - os grupos de segurança devem ser especializados e empilhados?

#1 resposta do (1 votos)

4

Não consegui encontrar práticas recomendadas para grupos de segurança da AWS. Eu acho que há duas abordagens que eu poderia tomar, mas não tenho certeza se há alguma desvantagem em particular para qualquer uma delas.

Cenário 1:
Defina grupos de segurança pequenos e especializados, como "ssh", "mongodb", "web", etc e, em essência, "empilhamento" de vários grupos de segurança em cada instância do EC2 para especificar quais portas estão abertas.

Cenário 2:
Defina grupos de segurança maiores e mais genéricos, como "web1", que abre as portas 80, 443, ssh, banco de dados e aplica isso a qualquer instância apropriada do EC2.

Acho que prefiro ir com o cenário # 1, mas não sei se há alguma desvantagem ou problemas técnicos com essa abordagem. Existe uma prática recomendada?

amazon-ec2 amazon-web-services security-groups

por ffxsam 16.12.2015 / 20:31

1 resposta

Tags amazon-ec2 amazon-web-services security-groups

Como uso o cloud-init para configurar um volume do AWS EBS na primeira inicialização? Expandindo JBOD com extensores SAS

score 1 · Answer 1

O AWS limita a quantidade de grupos que você pode aplicar a uma interface de rede: Security groups per network interface 5

Uma abordagem comum é criar SGs de forma que seja fácil atualizar sua frota de servidores, mas de uma maneira que ainda faça sentido para todos os hosts aos quais eles são aplicados.

Considere estes pontos

Esses fatores moldarão o que você deseja abrir para seus grupos de segurança de instâncias.

Use NACLs para permissões de grãos do curso
Use SGs para acesso mais específico
Coloque suas instâncias em uma sub-rede privada (esse conselho é para instâncias que não sejam públicas. Por exemplo, onde você usou um ELB para se conectar à sua instância da web)

Uma abordagem genérica

Dado tudo isso, uma abordagem comum seria:

Todas as instâncias obtêm um grupo de segurança comum (isso tem regras que você deseja aplicar a cada instância)
Cada Instância tem uma função, como "servidor web" ou "servidor de email" ou "banco de dados postgres" e cada função tem um grupo de segurança associado
Sua instância específica pode ter um grupo de segurança adicional para quaisquer personalizações não abrangidas pelos dois primeiros grupos

Variações sobre o SG "comum":

"common_linux OU common_windows"
"common" AND "common_linux OU common_windows".