AWS – Configuração das regras de inbound dos security groups

dilbert_09082008_seguranca

Na Amazon há um recurso de segurança muito utilizado, os Security Groups. Os Security Groups funcionam de forma muito semelhante aos firewalls, como o iptables ou o Firewall do Windows, restringindo o acesso aos nossos servidores em determinadas portas e/ou protocolos.

A configuração dos grupos de segurança é feita dentro da seção EC2 da Console da Amazon, na seção Network & Security, como podemos ver abaixo. É importante saber que cada grupo de segurança existe somente dentro de uma região, então se você tiver ambientes rodando em múltiplas regiões, terá que gerenciá-los de forma independente.

aws_security_groups

Para facilitar o trabalho com instâncias e serviços em múltiplas regiões, recomendamos muito o Cloud8, que mostra os grupos de segurança conforme abaixo. Falaremos mais sobre o Cloud8 em breve.

cloud8

A configuração das regras de inbound dos grupos de segurança permite gerenciarmos os protocolos TCP, UDP e ICMP, e por padrão tudo vem bloqueado (Ahhh, agora entendi porque nunca consigo pingar meu servidor na Amazon :) ).

Além do controle dos protocolos, conseguimos gerenciar as portas de destino, usando portas específicas ou faixas de portas.

custom_tcp_rule

Atenção especial deve ser dado ao campo Source(Origem) das regras, pois ele permite o uso de endereços IP e grupos de segurança da mesma região, tanto da sua conta da Amazon como de outras contas.

Para configurar o acesso a partir de um determinado grupo de segurança, devemos usar seu ID (ex: sg-cdbec4fd), e com isso todos os servidores dentro daquele grupo conseguirão acessar a porta/protocolo em questão, com um detalhe. Esta forma de configuração só funciona se você estiver usando nomes DNS da Amazon (ex: ec2-54-214-22-0.us-west-2.compute.amazonaws.com) para conectar ao servidor de destino, e não os Elastic IPs. Usando Elastic IPs a Amazon não conseguirá fazer o mapeamento das instâncias e seus respectivos security groups, pois toda a comunicação estará usando endereços de internet que não necessariamente são instâncias da Amazon.

Para liberar o acesso a partir de um grupo de segurança de outra conta, precisamos obter o número da mesma, o que pode ser feito na opção “My Account”. O Account number aparece logo abaixo do nome, conforme abaixo:

account_number

Para liberar o acesso para uma instância dentro de um security group da minha conta, usaríamos 043501798410/sg-cdbec4fd, que é o Account Number sem os hífens, e o ID do security group desejado. Vale lembrar que isto também só funcionará para security groups dentro da mesma região do servidor de destino.

custom_tcp_rule_security_group_de_outra_conta

Até a próxima pessoal!

21