O que são grupos de segurança na Nuvem Privada Virtual?
Um grupo de segurança é como um firewall virtual. Funciona de forma muito semelhante a um firewall tradicional.
Consiste em um conjunto de regras que podem ser usadas para monitorar e filtrar o tráfego de entrada e saída de uma instância em uma Nuvem Privada Virtual (VPC). A filtragem é feita com base em protocolos e portas.
Uma instância pode ser atribuída a no máximo cinco grupos de segurança. Ao contrário das listas de controle de acesso à rede (ACLs), que operam no nível da sub-rede, os grupos de segurança operam no nível da instância. Portanto, não é necessário atribuir o mesmo conjunto de grupos de segurança a todas as instâncias de uma sub-rede. Cada instância pode ter um conjunto diferente de grupos de segurança.
Além disso, grupos de segurança podem ser atribuídos a várias instâncias.
Recursos do grupo de segurança da AWS
- Grupos de segurança são permissivos. Você não pode ter uma regra para negar acesso.
- Eles são stateful. Independentemente das regras de entrada, se você enviar uma solicitação da sua instância, o tráfego de resposta para essa solicitação será automaticamente permitido. Para grupos de segurança de VPC, as respostas ao tráfego de entrada permitido podem sair da instância, independentemente das regras de saída.
- Por padrão, eles permitem todo o tráfego de saída.
- Cada VPC inclui um grupo de segurança padrão.
Grupos de segurança padrão
Cada VPC inclui um grupo de segurança padrão. Se você não especificar um grupo de segurança ao iniciar uma instância, o grupo de segurança padrão será atribuído a ela. No entanto, a qualquer momento, você pode definir um novo grupo de segurança usando o console do Amazon EC2.
No entanto, a qualquer momento, você pode definir um novo grupo de segurança usando o console do Amazon EC2.
O grupo de segurança padrão vem com as seguintes regras integradas:
- O tráfego de entrada proveniente de instâncias associadas ao grupo de segurança padrão será permitido. Todo o tráfego de saída originário da instância é permitido. No entanto, você pode modificar as regras do grupo de segurança padrão.
- O grupo de segurança padrão não pode ser excluído. Se você tentar excluí-lo, o seguinte erro será exibido:
Client.CannotDelete: o grupo especificado: "sg-51320848" nome: "default" não pode ser excluído por um usuário.
O que são regras de grupo de segurança?
Cada grupo de segurança consiste em um conjunto de regras. O grupo de segurança examina todas as suas regras antes de permitir que qualquer tráfego entre ou saia da instância. As regras usadas para controlar o tráfego de entrada são independentes das regras usadas para controlar o tráfego de saída.
Quando um novo grupo de segurança é criado, inicialmente todo o tráfego de entrada é restrito e o tráfego de saída é permitido. Portanto, você precisa adicionar regras ao grupo para permitir o tráfego de entrada e aplicar restrições ao tráfego de saída.
Há um limite, conhecido como cotas de VPC, para o número de regras que podem ser criadas para um grupo de segurança. Um grupo de segurança pode ter no máximo 120 regras. Das 120 regras, 60 são regras de entrada e 60 são regras de saída. O limite de 120 regras é imposto separadamente para regras IPv4 e IPv6. Isso significa que um grupo de segurança pode ter 60 regras de entrada e 60 regras de saída para tráfego IPv4 e 60 regras de entrada e 60 regras de saída para tráfego IPv6.
Como uma instância pode ter vários grupos de segurança associados, todas as regras de cada grupo de segurança associado à instância são combinadas para formar um único conjunto de regras. Esse conjunto de regras é usado para determinar se o tráfego deve ser negado ou permitido na instância.
Para cada regra de segurança adicionada ao grupo de segurança, você precisa especificar os valores para os seis campos a seguir:
- Tipo: indica o tipo de protocolo. Selecione o protocolo desejado, como HTTP ou SSH, na lista suspensa. Protocolos personalizados também estão incluídos na lista.
- Protocolo: Geralmente, este campo é coberto pelo Tipo. Portanto, este campo estará em cinza. No entanto, se você tiver criado uma regra personalizada, poderá especificar um protocolo, como TCP ou UDP, por exemplo.
- Intervalo de Portas: Este valor será preenchido automaticamente dependendo da porta padrão ou do intervalo de portas do protocolo escolhido. Você também pode usar portas personalizadas, se desejar.
- Tipo e Código ICMP: Aqui, novamente, indica um tipo de protocolo. Selecione o tipo apropriado, por exemplo, solicitações de eco (solicitações de ping), com o código que você deseja permitir, por exemplo, código 0: rede inacessível. Isso garante que os outros tráfegos ICMP sejam bloqueados.
- Origem (regras de entrada) ou Destino (regras de saída): você pode especificar um endereço IP específico, um grupo de segurança da AWS ou uma sub-rede.
Observação: se você especificar 0.0.0.0/0 como endereço IP, qualquer pessoa poderá acessar a instância.
| Origem/Destino | Convenção a ser seguida |
|---|---|
| Endereço IPv4 | Comprimento do prefixo /32 utilizado. Por exemplo: 203.0.112.1/32. |
| Endereço IPv6 | Comprimento do prefixo /128 utilizado. Por exemplo: 2001:db8:4567:1a00::123/128. |
| Intervalo de endereços IPv4 | Por exemplo: 203.0.112.0/24. |
| Intervalo de endereços IPv6 | Por exemplo: 2001:db8:4343:1a00::/64 |
| ID da lista de prefixos | Por exemplo: pl-1212abc1212abc121 |
| ID da lista de prefixos | Grupo de segurança atual, grupo de segurança diferente na mesma VPC, grupo de segurança diferente em uma conexão de peering de VPC |
Descrição: Você pode incluir uma descrição para a regra. A convenção para isso é a mesma da descrição do grupo de segurança.
Também é importante observar que apenas regras para permitir tráfego podem ser definidas no grupo de segurança. Regras para negar tráfego não podem ser definidas.
Como criar um grupo de segurança usando o AWS Management Console?
Cada nova instância vem com um grupo de segurança padrão. No entanto, a Amazon VPC também oferece a opção de criar seus próprios grupos de segurança.
Passo 1:
Clique em Grupos de segurança em SEGURANÇA no painel de navegação depois de abrir o console do Amazon VPC (uma lista de grupos de segurança será exibida se você já tiver criado alguns).
Passo 2:
Clique no botão Criar grupo de segurança no canto superior direito da tela.
Passo 3:
Você precisará fornecer um nome para o seu grupo de segurança, bem como uma descrição. Em seguida, selecione o ID da VPC apropriado.
Passo 4:
Você pode adicionar regras de grupo de segurança agora ou depois de criar o grupo de segurança.
Passo 5:
Clique no botão Criar grupo de segurança no canto inferior direito da tela.
Passo 6:
Um grupo de segurança será criado com sucesso.
Você também pode criar um grupo de segurança empregando a linha de comando.
Convenções para nomear e fornecer uma descrição para um grupo de segurança
Ao criar um grupo de segurança, você será solicitado a inserir um nome e uma descrição para ele. Lembre-se dos seguintes pontos ao nomear um grupo de segurança:
O nome e as descrições têm no máximo 255 caracteres cada.
Nomes e descrições podem conter apenas os seguintes caracteres:
Letras maiúsculas ou minúsculas
Os números 0-9
Caracteres especiais: ._-:/()#,@[]+=&;{}!$*.
sg- denota um grupo de segurança padrão. Portanto, não pode ser usado para nomear grupos de segurança criados pelo usuário.
Dentro de qualquer VPC, cada grupo de segurança deve ter um nome exclusivo.
Como alterar os grupos de segurança associados a uma instância?
Alterando os grupos de segurança atribuídos a uma instância usando o Amazon VPC Console:
Passo 1:
Clique em Instâncias em execução depois de abrir o console do Amazon VPC.
Passo 2:
Em seguida, clique em Ações > Rede > Alterar grupos de segurança.
Passo 3:
Uma caixa de diálogo "Alterar Grupos de Segurança" será exibida. Nessa caixa de diálogo, selecione os grupos de segurança que deseja atribuir à instância e clique em "Atribuir Grupos de Segurança".
Os grupos de segurança associados a uma instância podem ser alterados quando a instância estiver no estado ativo ou parado. Você também pode usar a linha de comando para alterar os grupos de segurança de uma instância.
Como excluir um grupo de segurança de uma VPC?
Um grupo de segurança padrão não pode ser excluído. No entanto, um grupo de segurança criado por um usuário pode ser excluído se não tiver nenhuma instância ativa ou inativa atribuída a ele. Se o grupo de segurança que você deseja excluir tiver uma instância atribuída a ele, você poderá reatribuir a instância a um grupo de segurança diferente e, em seguida, excluí-lo.
Excluindo um grupo de segurança usando o Amazon VPC Console:
Você pode excluir vários grupos de segurança ao mesmo tempo usando o Console do VPC.
Passo 1:
Clique em Grupos de segurança em Segurança no painel de navegação depois de abrir o Console do Amazon VPC.
Passo 2:
Uma lista de grupos de segurança será exibida. Selecione aqueles que deseja excluir.
Passo 3:
Clique em Ações e depois em Excluir grupo de segurança.
Passo 4:
Clique em Excluir na caixa de diálogo exibida.
Você também pode excluir um grupo de segurança usando a linha de comando ou a API. No entanto, você pode excluir apenas um grupo de segurança por vez dessa forma. A criação, exclusão ou modificação de um grupo de segurança são ações que exigem alta vigilância. Isso ocorre porque um grupo de segurança tem maior probabilidade de ser alvo de ataques cibernéticos devido às suas permissões mais altas. Com o Log360, você pode obter insights em tempo real sobre alterações de configuração, criação e exclusão, entrada e saída de grupos de segurança não autorizados e revogados, alterações no gateway de rede e alterações na lista de controle de acesso (ACL) da rede na forma de alertas e relatórios. Para saber mais, explore o produto você mesmo ou inscreva-se para uma demonstração personalizada gratuita.
Relatórios de grupos de segurança da AWS do Log360
Como visualizar a lista de todos os grupos de segurança?
Para visualizar a lista de todos os grupos de segurança junto com suas informações:
Passo 1:
Clique em Grupos de segurança em Segurança no painel de navegação depois de abrir o Console do Amazon VPC.
Passo 2:
Uma lista de todos os grupos de segurança será exibida. Ela inclui informações como ID do grupo de segurança, nome do grupo, VPC e descrição do grupo.
Passo 3:
Você também pode visualizar as regras de entrada e saída de qualquer grupo de segurança.
Como criar uma cópia de um grupo de segurança?
Você pode criar um novo grupo de segurança copiando ou duplicando um existente. O grupo de segurança copiado consistirá nas mesmas regras de grupo de segurança do grupo original. Além disso, ele será criado na mesma VPC que o original, salvo indicação em contrário.
Criando uma cópia do grupo de segurança usando o Console da VPC:
Passo 1:
Clique em Grupos de segurança em Segurança no painel de navegação depois de abrir o Console do Amazon VPC.
Passo 2:
Escolha o grupo de segurança que deseja copiar e clique em xActions > Copiar para novo grupo de segurança.
Passo 3:
Forneça todos os detalhes necessários e clique em Criar grupo de segurança.
A VPC e as regras do grupo de segurança copiado podem ser alteradas durante a cópia. O novo grupo de segurança terá um ID exclusivo. Um grupo de segurança não pode ser copiado de uma região para outra.
Adicionar uma regra ao grupo de segurança usando o VPC Console
Qualquer adição ou modificação das regras de um grupo de segurança será aplicada a todas as instâncias vinculadas a esse grupo de segurança específico.
Por padrão, um novo grupo de segurança consiste em uma única regra de saída que permite todo o tráfego de saída. Para permitir que apenas determinado tráfego de saída saia da sua instância, você pode remover essa regra e adicionar regras específicas que restrinjam o tráfego. As etapas abaixo orientarão você na adição e modificação de regras em um grupo de segurança.
Passo 1:
Clique em Grupos de Segurança em Segurança no painel de navegação após abrir o Console da Amazon VPC. Clique em Grupos de Segurança em Segurança no painel de navegação após abrir o Console da Amazon VPC.
Passo 2:
Uma lista de grupos de segurança será exibida. Selecione o grupo de segurança que deseja modificar.
Passo 3:
Clique em Ações > Editar regras de entrada ou Editar regras de saída.
Passo 4:
Clique em Adicionar regra.
Passo 5:
Especifique os valores para os seguintes campos:
- Tipo: consiste em uma lista suspensa da qual você pode selecionar qualquer protocolo comum, como SSH ou HTTP.
- Protocolo: Geralmente, isso é abordado em Tipo. No entanto, se você criou uma regra personalizada, pode escolher um protocolo, por exemplo, TCP ou UDP.
- Intervalo de Portas: Este valor será preenchido automaticamente dependendo da porta padrão ou do intervalo de portas do protocolo escolhido. Você pode usar portas personalizadas, se desejar.
- Origem: Você pode especificar um endereço IP específico, um grupo de segurança da AWS ou uma sub-rede. Se você especificar 0.0.0.0/0, qualquer pessoa poderá acessar a instância.
Passo 6:
Clique em Salvar regras após inserir todos os detalhes. A regra será adicionada ao grupo de segurança.
Exclua uma regra no grupo de segurança usando o console da VPC
Passo 1:
Clique em Grupos de segurança em Segurança no painel de navegação depois de abrir o Console do Amazon VPC.
Passo 2:
Uma lista de grupos de segurança será exibida. Selecione o grupo de segurança que deseja modificar.
Passo 3:
Clique em Ações e Editar regras de entrada ou Editar regras de saída.
Passo 4:
Clique em Excluir na extremidade direita da regra que você deseja excluir.
Passo 5:
A regra será removida e você poderá clicar em Salvar regras.
Modificando uma regra no grupo de segurança usando o Console da VPC
Passo 1:
Clique em Grupos de segurança em Segurança no painel de navegação depois de abrir o Console do Amazon VPC.
Passo 2:
Uma lista de grupos de segurança será exibida. Selecione o grupo de segurança que deseja modificar.
Passo 3:
Clique em Ações e Editar regras de entrada ou Editar regras de saída.
Passo 4:
Atualize a regra e clique em Salvar regras.
Não é possível modificar uma regra já existente usando a API do Amazon EC2 ou a linha de comando. Você precisa excluir a regra existente e criar uma nova.
Um grupo de segurança padrão não pode ser excluído, mas suas regras podem ser modificadas. O procedimento para modificar as regras é o mesmo acima.
Grupos de segurança obsoletos - Excluir ou modificar uma regra obsoleta em um grupo de segurança usando o Console da VPC:
Quando uma regra de grupo de segurança faz referência a outro em uma VPC peer, se o grupo de segurança referenciado for excluído ou se a conexão peer for excluída, a regra se tornará obsoleta. Essas regras são conhecidas como regras de grupo de segurança obsoletas. Elas não serão excluídas automaticamente e precisam ser excluídas manualmente.
Passo 1:
Clique em Grupos de segurança em Segurança no painel de navegação depois de abrir o Console do Amazon VPC.
Passo 2:
Haverá um ícone de notificação na parte superior da tela informando que você possui novas regras de grupo de segurança obsoletas. Clique em Gerenciar regras de estado.
Passo 3:
A regra obsoleta pode ser excluída ou modificada clicando em Editar.
Passo 4:
Você pode fazer alterações na regra obsoleta. Clique em Salvar alterações após modificar a regra obsoleta.
Passo 5:
Se quiser excluir a regra, clique em Excluir. Clique em Excluir tudo para excluir todas as regras obsoletas.
Se outra conexão peer for estabelecida entre as mesmas VPCs após a exclusão da conexão peer original, as regras do grupo de segurança não estarão mais obsoletas. O ManageEngine Log360 é uma ferramenta abrangente de SIEM e monitoramento de nuvem que identifica e mitiga ameaças de forma automática e eficiente. Com alertas em tempo real e relatórios prontos para uso, esta solução ajuda a proteger sua plataforma de nuvem contra invasores. Você também pode aprender mais sobre o ManageEngine Log360 por conta própria por meio de um teste gratuito e totalmente funcional de 30 dias ou agendar uma demonstração gratuita e personalizada com um de nossos especialistas em soluções para obter respostas às suas perguntas relacionadas ao produto.
