61 votes

lupchiazoem avatar

Plusieurs groupes de sécurité EC2 - permissifs ou restrictifs?

Demandé el 1 de Mars, 2013
Quand la question a-t-elle été
31665 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Que se passe-t-il lorsque j'attribue plusieurs groupes de sécurité à une instance ? Est-ce permissif dans le sens où le trafic est autorisé si l'un des groupes de sécurité le permet. OU est-ce restrictif dans le sens où chaque groupe de sécurité doit permettre le trafic pour qu'il soit transmis ?

Par exemple, disons que j'ai une classe d'instances qui ne parleront qu'à d'autres instances du même compte. J'ai aussi une classe d'instances qui n'accepteront le trafic que via HTTP (port 80).

Est-il possible de restreindre l'accès aux instances internes et uniquement via HTTP en créant et en appliquant deux groupes de sécurité :

  1. Un groupe de sécurité "interne". Autoriser tout le trafic en provenance des autres membres de ce groupe de sécurité sur tous les ports pour tous les transports (TCP, UDP, ICMP)
  2. Créer un groupe de sécurité "http". Autoriser tout le trafic sur le port 80 via TCP en provenance de n'importe quelle source.

OU suis-je obligé de créer un seul groupe de sécurité qui permet le trafic à partir du port 80 où la source est elle-même ?

Demandé el 1 de Mars, 2013 par lupchiazoem

Réponses

Trop de publicités?

66voto

euphoria83 avatar
euphoria83 Points 660

Permissif.

Selon AWS ici: http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#security-group-rules

S'il existe plus d'une règle pour un port spécifique, nous appliquons la règle la plus permissive. Par exemple, si vous avez une règle qui autorise l'accès au port TCP 22 (SSH) depuis l'adresse IP 203.0.113.1 et une autre règle qui autorise l'accès au port TCP 22 depuis tout le monde, tout le monde a accès au port TCP 22.

Répondu el 28 de Avril, 2015 par euphoria83 (660 Points )

14voto

Eltariel avatar
Eltariel Points 895

Si une instance a plusieurs groupes de sécurité, elle a la somme de toutes les règles dans les différents groupes.

Par exemple, disons que j'ai une classe d'instances qui ne parlera jamais qu'à d'autres instances dans le même compte. J'ai aussi une classe d'instances qui n'acceptera le trafic que via http (port 80).

C'est une situation parfaite pour le réseau privé virtuel AWS. Mettez les instances internes dans des sous-réseaux privés, et les instances accessible au public dans des sous-réseaux publics.

Répondu el 1 de Mars, 2013 par Eltariel (895 Points )

8voto

lupchiazoem avatar
lupchiazoem Points 131

Voici la réponse du support de la documentation AWS. Ils ont dit qu'ils mettraient à jour la documentation :

J'ai trouvé quelques messages de forums de discussion qui abordent des problèmes similaires avec des règles conflictuelles dans un ou plusieurs groupes de sécurité :

https://forums.aws.amazon.com/thread.jspa?messageID=221768

Répondu el 5 de Mars, 2013 par lupchiazoem (131 Points )

1voto

user377934 avatar
user377934 Points 1

Lorsque vous spécifiez un groupe de sécurité en tant que source ou destination pour une règle, la règle affecte toutes les instances associées au groupe de sécurité. Le trafic entrant est autorisé en fonction des adresses IP privées des instances associées au groupe de sécurité source (et non des adresses IP publiques ou des adresses IP élastiques). Pour plus d'informations sur les adresses IP, consultez l'adresse IP de l'instance Amazon EC2. Si votre règle de groupe de sécurité fait référence à un groupe de sécurité dans un VPC pair, et que le groupe de sécurité ou la connexion VPC pairée référencé est supprimé, la règle est marquée comme obsolète. Pour plus d'informations, consultez le guide de l'utilisateur Amazon VPC Peering Guide.

S'il y a plus d'une règle pour un port spécifique, nous appliquons la règle la plus permissive. Par exemple, si vous avez une règle qui autorise l'accès au port TCP 22 (SSH) depuis l'adresse IP 203.0.113.1 et une autre règle qui autorise l'accès au port TCP 22 depuis tout le monde, tout le monde a accès au port TCP 22.

Lorsque vous associez plusieurs groupes de sécurité à une instance, les règles de chaque groupe de sécurité sont effectivement agrégées pour créer un ensemble de règles. Nous utilisons cet ensemble de règles pour déterminer s'il faut autoriser l'accès.

Attention Comme vous pouvez attribuer plusieurs groupes de sécurité à une instance, une instance peut avoir des centaines de règles qui s'appliquent. Cela peut poser des problèmes lorsque vous accédez à l'instance. Par conséquent, nous vous recommandons de condenser vos règles autant que possible.

Répondu el 27 de Septembre, 2016 par user377934 (1 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X