Ricerca nel sito web

Come creare un gruppo di sicurezza (SG) e un elenco di controllo di accesso alla rete (NACL) in AWS

Su questa pagina

  1. Cosa faremo?
  2. Accedi ad AWS
  3. Crea un gruppo di sicurezza
  4. Crea un elenco di controllo dell'accesso alla rete
  5. Conclusione

I gruppi di sicurezza (SG) e gli elenchi di controllo di accesso alla rete (NACL) sono le funzionalità fornite con Virtual Private Cloud (VPC) in Amazon Web Services (AWS).

SG funge da firewall per la nostra istanza per controllare o limitare il traffico in entrata e in uscita. Quando lanciamo un'istanza in un VPC, possiamo assegnare all'istanza fino a cinque gruppi di sicurezza. I gruppi di sicurezza agiscono a livello di istanza e non a livello di subnet. Se non specifichiamo un particolare gruppo al momento dell'avvio, l'istanza viene automaticamente assegnata al gruppo di sicurezza predefinito del VPC.

Possiamo aggiungere regole nell'SG che controllano il traffico in entrata alle istanze e un insieme separato di regole che controllano il traffico in uscita.

Un NACL è un livello di sicurezza facoltativo per il VPC che funge da firewall per il controllo del traffico in entrata e in uscita da una o più sottoreti. Possiamo impostare NACL con regole simili alle SG per aggiungere un ulteriore livello di sicurezza sulla subnet.

Prima di procedere ulteriormente con la creazione di SG e NACL, vediamo la differenza tra entrambi.

  1. SG opera a livello di istanza mentre NACL opera a livello di subnet.
  2. SG supporta solo regole consentite e NACL supporta regole consentite e regole negate.
  3. SG valuta tutte le regole prima di decidere se consentire il traffico e in NACL le regole vengono elaborate in ordine numerico quando decidono se consentire il traffico.
  4. SG viene applicato a un'istanza solo se qualcuno specifica il gruppo di sicurezza, mentre NACL viene applicato automaticamente a tutte le istanze nelle sottoreti a cui è associato.

In questo articolo vedremo i passaggi per creare una SG e una NACL.

Prerequisiti

  1. Account AWS (crealo se non ne hai uno). 

Cosa faremo?

  1. Accedi ad AWS.
  2. Crea un gruppo di sicurezza
  3. Crea un elenco di controllo dell'accesso alla rete.

Accedi ad AWS

  1. Fai clic qui per accedere alla pagina di accesso di AWS.

Quando colpiamo il link sopra, vedremo una pagina web come segue in cui ci viene richiesto di accedere utilizzando i nostri dati di accesso.

Una volta effettuato l'accesso ad AWS con successo, vedremo la console principale con tutti i servizi elencati come segue.

Crea un gruppo di sicurezza

Per creare una SG, fai clic su \Servizio\ nella barra dei menu in alto e cerca \VPC\ e fai clic sul risultato.

Nella dashboard VPC principale, fai clic su \Gruppo di sicurezza\ dal pannello di sinistra per creare il tuo primo gruppo di sicurezza.

Fai clic su \Crea gruppo di sicurezza per crearlo.

Assegnare un nome al gruppo di sicurezza da creare insieme alla relativa descrizione che può aiutare a comprenderne lo scopo.

Una volta creato il gruppo Sicurezza, puoi vedere la schermata come segue. Fare clic sul collegamento ID gruppo di sicurezza per andare al SG e aggiungere le regole in entrata e in uscita.

Qui, fai clic su \Regole in entrata\ disponibile nel menu in basso accanto alla descrizione e fai clic su \Modifica regole\ per aggiungere regole in questo SG.

Puoi scegliere il tipo di regola da aggiungere, la sua porta/intervallo di porte. In Sorgente puoi selezionare \Il mio IP\, \Personalizzato\ o \Ovunque\, questo decide la sorgente da autorizzare. Aggiungere una descrizione che aiuti a comprendere lo scopo della Regola aggiunta. Una volta che hai finito di aggiungere la regola desiderata, clicca su \Salva regole\.

Nel modo in cui abbiamo aggiunto le regole in entrata, è possibile aggiungere anche regole in uscita.

Creare un elenco di controllo dell'accesso alla rete

Per creare una NACL, fai clic su \ACL di rete\ dal pannello di sinistra.

Assegna un nome alla NACL e seleziona il VPC a cui verrà applicata questa NACL e fai clic su Crea.

Seleziona la NACL appena creata e fai clic su \Regole in entrata\ dal menu in basso.

Aggiungi il numero della regola che decide la priorità rispetto alle altre regole. Il numero più basso ha la priorità più alta. Qui, la prima regola ha Priorità 1 per la porta 22 come Deny. Ciò significa che anche se la seconda regola ha Allow for all(0.0.0.0/0) con priorità inferiore, questa seconda regola non avrà alcun effetto sull'origine della prima regola e negherà comunque l'origine della prima regola. Fai molta attenzione quando aggiungi regole e numeri di regole. Dopo aver aggiunto tutte le regole richieste, fai clic su \Crea\.

Puoi seguire gli stessi passaggi per aggiungere regole in uscita.

Conclusione

In questo articolo, abbiamo visto i passaggi per creare una SG e una NACL. Creare una SG o una NACL è molto semplice, ma fai molta attenzione quando aggiungi le regole ad esse e soprattutto alla NACL.