§ Amazon EC2: Security groups.

Коротко о группах безопасности в Amazon EC2

Группы безопасности (Security Groups) выступают в качестве фаерволов, которые контролируют трафик идущий к группам хостов.  Группы безопасности указываются при запуске инстанса. Можно указать как одну группу так и несколько. Для каждой группы, можно добавлять правила которые регулируют входящий трафик. Остальной трафик не соответствующий правилам отбрасывается. Правила можно редактировать и после изменения они вступают в силу для всех существующих и будущих хостов. 

На данный момент в EC2 существует два типа групп безопасности, это обычные Security Groups и VPC. Ниже описание и отличия:
Обычные группы безопасности:

• доступна настройка правил только для входящего трафика;
• возможность доступа с других групп безопасности даже принадлежащих другой учетной записи;
• нельзя сменить группу после запуска инстанса;
• невозможность точного указания протокола в правилах;
• можно создать до 500 групп с количеством до 100 правил в группе, в рамках одного аккаунта;
• В группе по умолчанию, изначально запрещен входящий и разрешен исходящий трафик, трафик между машинами также разрешен.

Группы безопасности VPC:

• доступна настройка правил как для входящего так и исходящего трафика;
• возможность доступа только для тех групп которые находятся в том же VPC;
• можно менять принадлежность к группам при запущенном инстансе;
• возможность указания протокола в правилах;
• по умолчанию весь входящий трафик запрещен;
• инстансы в группе не могут взаимодействовать друг с другом пока не будет соответствующее правило (исключением являются хосты в группе созданной по умолчанию);
• можно создать до 50 групп с количеством до 40 правил в группе, в рамках одного аккаунта;
• изначально в VPC группе по умолчанию, запрещен входящий трафик, разрешен весь исходящий, разрешен трафик между машинами. Правила можно редактировать.

Для управления группами доступны утилиты из app-admin/ec2-api-tools (проверялось на версии ec2-api-tools-1.5.5.0):
создание VPC группы gdi-group00 в указанном VPC:
# ec2-add-group --region eu-west-1 gdi-group00 -d "development" --vpc vpc-110c0078 
GROUP sg-113f217d gdi-group00 development

просмотр доступных групп (как обычных, так и VPC)
# ec2-describe-group --region eu-west-1
...
GROUP sg-113f217d 247944407833 gdi-group00 development vpc-110c0078
PERMISSION 247944407833 gdi-group00 ALLOWS all TO CIDR 0.0.0.0/0  egress
...

добавим пару правил для входящего и исходящего (egress) трафика.
# ec2-authorize --region eu-west-1 sg-113f217d -P tcp -p 2202-2212
GROUP sg-113f217d
PERMISSION ALLOWS tcp 2202 2212 FROM CIDR 0.0.0.0/0 ingress
# ec2-authorize --region eu-west-1 sg-113f217d --egress -P udp -p 1024-1030
GROUP sg-113f217d
PERMISSION ALLOWS udp 1024 1030 TO CIDR 0.0.0.0/0 egress

уберем одно правило
# ec2-revoke --region eu-west-1 -P tcp -p 2202-2212 gdi-group00
GROUP gdi-group00
PERMISSION gdi-group00 ALLOWS tcp 2202 2212 FROM CIDR 0.0.0.0/0

да и пожалуй группу удалим, если это VPC группа, удаляем по её ID.
# ec2-delete-group --region eu-west-1 sg-113f217d
RETURN  true

Вот и все, ничего сложного.

На главную "Virtualizing Linux"