Das Konzept der AWS Netzwerksicherheit

[ 0 ] September 8, 2010 |

Mit Amazon EC2 können Instanzen dynamisch hinzugefügt und entfernt werden. Diese Flexibilität kann die Konfiguration und Wartung der Firewall zunehmends erschweren, da Firewall-Regeln traditionell auf Basis von IP-Adressen, Subnetzbereiche oder DNS Hostnamen basieren.

Mit der Amazon EC2 Firewall werden Instanzen benutzerdefinierten Gruppen zugewiesen und für diese Gruppen dann Firewall Regeln definiert. Wird anschließend eine Instanz einer Gruppe hinzugefügt oder wieder entfernt, werden die entsprechenden Regeln der Gruppe für diese Instanz angewendet. Änderungen an den Regeln einer Gruppe werden automatisch für alle Mitglieder der Gruppe angewendet.

Security Groups

Eine Security Group definiert Firewall Regeln für die Instanzen. Diese Regeln legen fest, welcher eingehende Datenverkehr zur einer Instanz durchgelassen wird. Jeder weitere eingehende Datenverkehr wird geblockt und verworfen.

Die Regeln einer Security Group können jederzeit geändert werden. Neue Regeln werden automatisch für bereits ausgeführte Instanzen und Instanzen die in Zukunft gestartet werden, angewendet.

Es können bis zu 100 Security Groups erstellt werden.

Gruppen – Mitgliedschaft

Nachdem eine AMI Instanz gestartet wurde, kann diese beliebig vielen Security Groups zugeordnet werden.

Wurde bisher keine Security Group definiert, wird die Instanz automatisch der “default” Group zugewiesen. Standardmäßig erlaubt diese Security Group den gesamten Datenverkehr aller Mitglieder dieser Gruppe und verwirft den Datenverkehr von anderen Gruppen und IP-Adressen. Die Regeln für die “default” Group können den eigenen Anforderungen entsprechend angepasst werden.

Gruppen – Zugriffsrechte

Die Zugriffsrechte werden auf Basis von Quellen definiert. Dabei können die Quellen entweder benammte Security Groups oder IP-Adressen sein. Für CIDR basierte Regeln können zusätzlich das Protokoll und ein Port Bereich definiert werden.

Quelle

Ähnliche Beiträge:

  1. Was bei der Nutzung von EC2 Instanzen zu beachten ist
  2. Das Konzept der Amazon Elastic IP Addresses
  3. Das Konzept der Amazon Virtual Private Cloud
  4. Das Konzept des Amazon Elastic Block Store
  5. Das Konzept hinter den AWS Regionen und Verfügbarkeitszonen

Tags: , , , ,

Category: Grundlagen

About the Author ()

Rene Buest is Principal Analyst and Senior Advisor at renebuest research, covering cloud computing, business technology and collaboration. He is member of the GigaOm Pro Analyst Network and top cloud computing blogger in Germany. Worldwide he is one of the top 50 bloggers in this area. For more than 16 years he is focused on the strategic use of information technology in businesses and the IT impact on our society as well as disruptive technologies. Rene Buest is the author of numerous professional cloud computing and technology articles, speaker and participant of experts rounds. On CloudUser.de he writes about topics from the fields of cloud computing, it-infrastructures, technologies, management and strategies and is moving on Twitter via his account @ReneBuest. Rene Buest is organizer of numerous cloud computing and technology events. Covering the CloudCamp Hamburg 2010, CloudCamp Frankfurt 2012, CloudOps Summit 2012 and the Amazon Web Services and Windows Azure User Groups in Germany. Rene Buest is a fully qualified specialist for system integration und holds a diploma in computer engineering from the Hochschule Bremen (Dipl.-Informatiker (FH)) as well as a M.Sc. in IT-Management and Information Systems from the FHDW Paderborn. Detailed curriculum vitaes are hosted on XING and LinkedIn.

Leave a Reply

You must be logged in to post a comment.

«
»