Que sont les groupes de sécurité AWS et comment les utilisez-vous ? –
AWS gère la configuration du pare-feu à l’aide des groupes de sécurité. Chaque instance EC2 ou autre service avec une interface réseau élastique (ENI) utilise la configuration de votre groupe de sécurité pour décider quels paquets supprimer et quel type de trafic doit être autorisé.
Sommaire
Les groupes de sécurité sont le système de pare-feu d’AWS
Essentiellement, un groupe de sécurité est une configuration de pare-feu pour vos services. Il définit quels ports de la machine sont ouverts au trafic entrant, ce qui contrôle directement les fonctionnalités disponibles ainsi que la sécurité de la machine.
Par défaut, chaque port est fermé. De nombreux systèmes de pare-feu auront des règles « DENY » ; AWS bloque tout à la place, sauf s’il existe une règle l’autorisant spécifiquement à passer. Cela signifie que tout paquet qui ne correspond à aucune règle sera supprimé instantanément. Ainsi, si vous souhaitez exécuter un serveur Web sur votre instance EC2 ou ECS, vous devrez créer un groupe de sécurité autorisant le port 80 et le port 443 à travers le pare-feu.
La plupart des instances seront livrées avec un nouveau groupe de sécurité par défaut prêt à l’emploi, que vous pouvez modifier individuellement, mais si vous le souhaitez, vous pouvez également créer vos propres groupes de sécurité et les appliquer à plusieurs instances. Ensuite, lorsque vous modifiez un groupe, il ouvre ou ferme des ports sur toutes les instances.
Comment fonctionnent les groupes de sécurité ?
Étant donné que le système de pare-feu d’AWS se produit dans leur réseau, vous n’avez pas à vous soucier de la configuration ufw
ou alors iptables
avec des commandes sur chaque serveur. Il est géré sur l’Elastic Network Interface elle-même, qui connecte votre instance au réseau. Les ENI gèrent le trafic pour EC2 et d’autres services qui utilisent des instances, comme ECS et EKS. Les instances peuvent également avoir plusieurs ENI pour différentes connexions réseau, ce qui signifie qu’elles peuvent également avoir plusieurs groupes de sécurité pour chacune.
Les instances peuvent également avoir plusieurs groupes de sécurité pour chaque interface. Étant donné qu’AWS ne refuse pas le trafic, chaque groupe de sécurité sera composé, permettant l’accès si l’un des groupes de sécurité correspond à un paquet spécifique.
Par défaut, les groupes de sécurité autorisent tout le trafic sortant de votre instance. Cela signifie qu’il dispose d’un accès Internet complet, ce qui est généralement ce que vous souhaitez, mais dans le cas contraire, vous pouvez également refuser le trafic sortant en supprimant cette règle et en spécifiant manuellement le type de trafic que vous souhaitez autoriser.
Les groupes de sécurité sont également avec état. Si vous envoyez une requête sortante de votre instance, tout le trafic qui revient de cette requête est autorisé à revenir quelles que soient les règles de sécurité entrantes, et vice versa pour les requêtes entrantes et les réponses sortantes.
Meilleures pratiques pour les groupes de sécurité
Étant donné que les groupes de sécurité ne sont pour la plupart que des pare-feu, les meilleures pratiques habituelles pour les serveurs Linux s’appliquent ici. Vous ne devez pas créer de groupes de sécurité avec de grandes plages de ports, car cela est inutile et ouvre simplement plus de ports à attaquer. Vous devez garder la plupart des ports bloqués, tels que les ports FTP et CIFS. Vous devriez envisager de mettre sur liste blanche l’accès SSH à des adresses IP administratives spécifiques, ou de configurer un serveur OpenVPN et de mettre l’accès sur liste blanche.
Étant donné que vous pouvez appliquer des groupes de sécurité à plusieurs instances, vous devez le faire dans la mesure du possible. L’utilisation de groupes discrets pour chaque instance individuelle peut entraîner une mauvaise configuration ou une mauvaise gestion. Par exemple, vous devrez peut-être fermer un port après une mise à jour d’application. Si vous avez plusieurs serveurs avec des groupes différents, vous risquez d’oublier de fermer le port sur l’un d’entre eux.
Et, en général, vous ne devez pas autoriser l’accès à 0.0.0.0/0
, ou « Toutes les adresses IP », à moins que cela ne soit absolument nécessaire. Pour de nombreuses choses, comme les bases de données, vous devez les laisser fermées aux instances spécifiques qui en ont besoin.
Utilisation des groupes de sécurité à partir de la console AWS
La configuration du groupe de sécurité est gérée dans AWS EC2 Management Console. Rendez-vous sur la console EC2 et recherchez « Groupes de sécurité » sous « Réseau et sécurité » dans la barre latérale.
Vous devriez voir une liste de tous les groupes de sécurité actuellement utilisés par vos instances. Vous pouvez modifier ceux qui existent déjà ou en créer un nouveau :
La configuration principale consiste simplement à définir des règles entrantes et sortantes, activant principalement un trafic entrant spécifique, car tous les appels sortants sont activés par défaut.
Tout d’abord, vous devrez configurer le protocole. Vous pouvez spécifier des ports TCP/UDP personnalisés, mais il existe également des options prédéfinies pour des éléments tels que HTTP et certaines bases de données. Vous pouvez également spécifier ICMP ou des protocoles entièrement personnalisés.
Ensuite, vous devrez autoriser l’accès à partir d’une source spécifique. Vous pouvez choisir « N’importe où » qui le laissera ouvert, ou « Mon IP » qui ajoutera votre machine actuelle à la liste blanche. Vous pouvez également spécifier une notation CIDR personnalisée pour des sous-réseaux spécifiques.
Une fonctionnalité très utile de la console est la liste blanche d’accès à d’autres groupes de sécurité. Cela simplifie la configuration des blocs CIDR ou l’ajout manuel d’adresses IP ; toute instance utilisant le groupe de sécurité spécifié sera autorisée par la règle.
Au-delà de cela, vous devrez lui donner un nom, et éventuellement une description et une balise.
Ensuite, vous pouvez échanger vos instances ou services vers le nouveau groupe de sécurité. Pour les instances EC2, vous pouvez le faire à partir de la console en cliquant avec le bouton droit et en sélectionnant « Sécurité > Modifier les groupes de sécurité ».