Utilizzo dei gruppi di sicurezza - AWS OpsWorks

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo dei gruppi di sicurezza

Importante

Il AWS OpsWorks Stacks servizio ha raggiunto la fine del ciclo di vita il 26 maggio 2024 ed è stato disattivato sia per i clienti nuovi che per quelli esistenti. Consigliamo vivamente ai clienti di migrare i propri carichi di lavoro verso altre soluzioni il prima possibile. Se hai domande sulla migrazione, contatta il AWS Support Team su AWS re:post o tramite Premium AWS Support.

Gruppi di sicurezza

Importante

Il AWS OpsWorks Stacks servizio ha raggiunto la fine del ciclo di vita il 26 maggio 2024 ed è stato disattivato sia per i clienti nuovi che per quelli esistenti. Consigliamo vivamente ai clienti di migrare i propri carichi di lavoro verso altre soluzioni il prima possibile. Se hai domande sulla migrazione, contatta il AWS Support Team su AWS re:post o tramite Premium AWS Support.

Ogni istanza Amazon EC2 ha uno o più gruppi di sicurezza associati che regolano il traffico di rete dell'istanza, proprio come un firewall. Un gruppo di sicurezza dispone di una o più regole, ciascuna delle quali specifica una determinata categoria di traffico consentito. Una regola specifica le seguenti informazioni:

  • Tipo di traffico consentito, ad esempio SSH o HTTP

  • Protocollo del traffico, ad esempio TCP o UDP

  • Intervallo di indirizzi IP da cui ha origine il traffico

  • Intervallo di porte consentite per il traffico

I gruppi di sicurezza dispongono di due tipi di regole:

  • Le regole in entrata regolamentano il traffico di rete in entrata.

    Ad esempio, le istanze del server di applicazioni in genere ha un regola in entrata che consente il traffico HTTP in entrata da qualsiasi indirizzo IP alla porta 80 e un'altra regola in entrata che consente il traffico SSH in entrata sulla porta 22 dal set specificato di indirizzi IP.

  • Le regole in uscita regolamentano il traffico di rete in uscita.

    In genere è consigliabile utilizzare l'impostazione predefinita, che consente qualsiasi traffico in uscita.

Per ulteriori informazioni sui gruppi di sicurezza, consulta Amazon EC2 Security Groups.

La prima volta che crei uno stack in una regione, AWS OpsWorks Stacks crea un gruppo di sicurezza integrato per ogni livello con un set di regole appropriato. Tutti i gruppi hanno regole in uscita predefinite, che consentono tutto il traffico in uscita. In generale, le regole in entrata consentono quanto segue:

  • Traffico TCP, UDP e ICMP in entrata dai livelli Stacks appropriati AWS OpsWorks

  • Traffico TCP in entrata sulla porta 22 (accesso SSH)

    avvertimento

    La configurazione predefinita del gruppo di sicurezza apre la porta SSH (22) per qualsiasi posizione di rete (0.0.0.0/0). Ciò consente a tutti gli indirizzi IP di accedere all'istanza tramite SSH. Per gli ambienti di produzione, devi utilizzare una configurazione che consenta solo l'accesso SSH da un indirizzo IP o da un intervallo indirizzi specificato. Aggiornare i gruppi di sicurezza predefiniti subito dopo la creazione oppure utilizzare invece gruppi di sicurezza personalizzati.

  • Per i livelli del server Web, tutto il traffico TCP e UDP in entrata verso le porte 80 (HTTP) e 443 (HTTPS)

Nota

Il gruppo di sicurezza predefinito AWS-OpsWorks-RDP-Server viene assegnato a tutte le istanze Windows per consentire l'accesso RDP. Tuttavia, per impostazione predefinita, tale gruppo non ha regole. Se esegui uno stack Windows e vuoi utilizzare RDP per accedere alle istanze, devi aggiungere una regola in entrata che consenta l'accesso RDP. Per ulteriori informazioni, consulta Accesso con RDP.

Per visualizzare i dettagli di ciascun gruppo, vai alla console Amazon EC2, seleziona Security Groups nel riquadro di navigazione e seleziona il gruppo di sicurezza del layer appropriato. Ad esempio, AWS- OpsWorks -Default-Server è il gruppo di sicurezza integrato predefinito per tutti gli stack e AWS OpsWorks - WebApp è il gruppo di sicurezza integrato predefinito per lo stack di esempio Chef 12.

Nota

Se elimini accidentalmente un gruppo di sicurezza AWS OpsWorks Stacks, il modo migliore per ricrearlo è fare in modo che Stacks esegua l'operazione al posto tuo. AWS OpsWorks Basta creare un nuovo stack nella stessa regione AWS e il VPC, se AWS OpsWorks presente, e Stacks ricreerà automaticamente tutti i gruppi di sicurezza integrati, incluso quello che hai eliminato. È quindi possibile eliminare lo stack se non è più necessario. I gruppi di sicurezza verranno conservati. Per ricreare il gruppo di sicurezza manualmente, dovrai realizzare un duplicato esatto dell'originale, rispettando anche l'uso di maiuscole e minuscole per il nome del gruppo.

Inoltre, AWS OpsWorks Stacks tenterà di ricreare tutti i gruppi di sicurezza integrati se si verifica una delle seguenti condizioni:

  • Puoi apportare eventuali modifiche alla pagina delle impostazioni dello stack nella console Stacks. AWS OpsWorks

  • Avvii una delle istanze dello stack.

  • Crei un nuovo stack.

Puoi utilizzare uno dei seguenti approcci per specificare i gruppi di sicurezza. Utilizzi l'impostazione Usa i gruppi OpsWorks di sicurezza per specificare le tue preferenze quando crei uno stack.

  • (impostazione predefinita): AWS OpsWorks Stacks associa automaticamente il gruppo di sicurezza integrato appropriato a ciascun livello.

    Puoi migliorare il gruppo di sicurezza integrato di un livello aggiungendo un gruppo di sicurezza personalizzato con le impostazioni desiderate. Tuttavia, quando Amazon EC2 valuta più gruppi di sicurezza, utilizza le regole meno restrittive, quindi non è possibile utilizzare questo approccio per specificare regole più restrittive rispetto al gruppo integrato.

  • No, AWS OpsWorks Stacks non associa i gruppi di sicurezza integrati ai livelli.

    Devi creare gruppi di sicurezza appropriati e associarne almeno uno a ciascun livello creato. Utilizza questo approccio per specificare regole più restrittive rispetto a quelle dei gruppi integrati. È da notare che puoi ancora associare manualmente un gruppo di sicurezza integrato a un livello, se preferisci. I gruppi di sicurezza personalizzati sono necessari solo per quei livelli che necessitano di impostazioni personalizzate.

Importante

Se utilizzi i gruppi di sicurezza integrati, non puoi creare regole più restrittive modificando manualmente le impostazioni del gruppo. Ogni volta che crei uno stack, AWS OpsWorks Stacks sovrascrive le configurazioni dei gruppi di sicurezza integrati, quindi tutte le modifiche apportate andranno perse alla successiva creazione di uno stack. Se un livello richiede impostazioni di gruppo di sicurezza più restrittive rispetto al gruppo di sicurezza integrato, imposta Usa gruppi di OpsWorks sicurezza su No, crea gruppi di sicurezza personalizzati con le tue impostazioni preferite e assegnali ai livelli al momento della creazione.