Configuração das regras de inbound dos security groups AWS
Na Amazon há um recurso de segurança muito utilizado, os Security Groups. Os Security Groups funcionam de forma muito semelhante aos firewalls, como o iptables ou o Firewall do Windows, restringindo o acesso aos nossos servidores em determinadas portas e/ou protocolos.
A configuração dos grupos de segurança é feita dentro da seção EC2 da Console da Amazon, na seção Network & Security, como podemos ver abaixo. É importante saber que cada grupo de segurança existe somente dentro de uma região, então se você tiver ambientes rodando em múltiplas regiões, terá que gerenciá-los de forma independente.
Para facilitar o trabalho com instâncias e serviços em múltiplas regiões, recomendamos muito o Cloud8, que mostra os grupos de segurança conforme abaixo. Falaremos mais sobre o Cloud8 em breve.
A configuração das regras de inbound dos grupos de segurança permite gerenciarmos os protocolos TCP, UDP e ICMP, e por padrão tudo vem bloqueado (Ahhh, agora entendi porque nunca consigo pingar meu servidor na Amazon 🙂 ).
Além do controle dos protocolos, conseguimos gerenciar as portas de destino, usando portas específicas ou faixas de portas.
Atenção especial deve ser dado ao campo Source(Origem) das regras, pois ele permite o uso de endereços IP e grupos de segurança da mesma região, tanto da sua conta da Amazon como de outras contas.
Para configurar o acesso a partir de um determinado grupo de segurança, devemos usar seu ID (ex: sg-cdbec4fd), e com isso todos os servidores dentro daquele grupo conseguirão acessar a porta/protocolo em questão, com um detalhe. Esta forma de configuração só funciona se você estiver usando nomes DNS da Amazon (ex: ec2-54-214-22-0.us-west-2.compute.amazonaws.com) para conectar ao servidor de destino, e não os Elastic IPs. Usando Elastic IPs a Amazon não conseguirá fazer o mapeamento das instâncias e seus respectivos security groups, pois toda a comunicação estará usando endereços de internet que não necessariamente são instâncias da Amazon.
Para liberar o acesso a partir de um grupo de segurança de outra conta, precisamos obter o número da mesma, o que pode ser feito na opção “My Account“. O Account number aparece logo abaixo do nome, conforme abaixo:
Para liberar o acesso para uma instância dentro de um security group da minha conta, usaríamos 043501798410/sg-cdbec4fd, que é o Account Number sem os hífens, e o ID do security group desejado. Vale lembrar que isto também só funcionará para security groups dentro da mesma região do servidor de destino.
Até a próxima pessoal!
Gostou do conteúdo? Tem alguma dúvida? Entre em contato com nossos Especialistas Mandic Cloud, ficamos felizes em ajudá-lo.