Grupos de seguridad predeterminados Crear, cambiar o eliminar grupos de seguridad Busque grupos de seguridad

Grupos de seguridad

En AWS VPCs, los grupos de seguridad de AWS actúan como firewalls virtuales y controlan el tráfico de una o más pilas (una instancia o un conjunto de instancias). Cuando se lanza una pila, se asocia a uno o más grupos de seguridad, que determinan qué tráfico puede llegar a ella:

En el caso de las pilas de las subredes públicas, los grupos de seguridad predeterminados aceptan el tráfico de HTTP (80) y HTTPS (443) procedente de todas las ubicaciones (Internet). Las pilas también aceptan tráfico SSH y RDP interno de su red corporativa y de los bastiones de AWS. Luego, esas pilas pueden salir a Internet a través de cualquier puerto. También pueden salir a las subredes privadas y a otras pilas de la subred pública.
Las pilas de tus subredes privadas pueden salir a cualquier otra pila de tu subred privada, y las instancias de una pila pueden comunicarse completamente entre sí a través de cualquier protocolo.

importante

El grupo de seguridad predeterminado para las pilas de las subredes privadas permite que todas las pilas de la subred privada se comuniquen con otras pilas de esa subred privada. Si desea restringir las comunicaciones entre las pilas de una subred privada, debe crear nuevos grupos de seguridad que describan la restricción. Por ejemplo, si desea restringir las comunicaciones a un servidor de base de datos para que las pilas de esa subred privada solo puedan comunicarse desde un servidor de aplicaciones específico a través de un puerto específico, solicite un grupo de seguridad especial. En esta sección se describe cómo hacerlo.

Grupos de seguridad predeterminados

MALZ

En la siguiente tabla se describe la configuración predeterminada del grupo de seguridad entrante (SG) para sus pilas. El SG se denomina «SentinelDefaultSecurityGroupPrivateOnly-VPC-ID» y es ID un ID de VPC en tu cuenta de zona de landing zone multicuenta de AMS. Se permite que todo el tráfico salga a «mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly» a través de este grupo de seguridad (se permite todo el tráfico local dentro de las subredes apiladas).

Un segundo grupo de seguridad "» permite que todo el tráfico salga a 0.0.0.0/0. SentinelDefaultSecurityGroupPrivateOnly

sugerencia

Si elige un grupo de seguridad para un tipo de cambio de AMS, como EC2 crear o OpenSearch crear un dominio, debe utilizar uno de los grupos de seguridad predeterminados que se describen aquí o un grupo de seguridad que haya creado. Puede encontrar la lista de grupos de seguridad, por VPC, en la consola de AWS o en la EC2 consola de VPC.

Hay otros grupos de seguridad predeterminados que se utilizan con fines internos de AMS.

Grupos de seguridad predeterminados de AMS (tráfico entrante)
Tipo	Protocolo	Intervalo de puertos	Origen
Todo el tráfico	Todos	Todos	SentinelDefaultSecurityGroupPrivateOnly (restringe el tráfico saliente a los miembros del mismo grupo de seguridad)
Todo el tráfico	Todos	Todos	SentinelDefaultSecurityGroupPrivateOnlyEgressAll (no restringe el tráfico saliente)
HTTP, HTTPS, SSH, RDP	TCP	80/443 (fuente 0.0.0.0/0) Se permite el acceso SSH y RDP desde los bastiones	SentinelDefaultSecurityGroupPublic (no restringe el tráfico saliente)
Bastiones de MALZ:
SSH	TCP	22	SharedServices CIDR de VPC y CIDR de VPC DMZ, además de entornos locales proporcionados por el cliente CIDRs
SSH	TCP	22
RDP	TCP	3389
RDP	TCP	3389
Bastiones de SALZ:
SSH	TCP	22	mc-initial-garden- SG LinuxBastion
SSH	TCP	22	mc-initial-garden- LinuxBastion DMZSG
RDP	TCP	3389	mc-initial-garden- SG WindowsBastion
RDP	TCP	3389	mc-initial-garden- WindowsBastion DMZSG

SALZ

En la siguiente tabla se describe la configuración predeterminada del grupo de seguridad entrante (SG) para sus pilas. El SG se denomina «mc-initial-garden- SentinelDefaultSecurityGroupPrivateOnly -ID» y ID es un identificador único. Se permite que todo el tráfico salga a «mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly» a través de este grupo de seguridad (se permite todo el tráfico local dentro de las subredes apiladas).

Un segundo grupo de seguridad, "- -», permite que todo el tráfico salga a 0.0.0.0/0. mc-initial-garden SentinelDefaultSecurityGroupPrivateOnlyEgressAll ID

sugerencia

Si elige un grupo de seguridad para un tipo de cambio de AMS, como EC2 crear o OpenSearch crear un dominio, debe utilizar uno de los grupos de seguridad predeterminados que se describen aquí o un grupo de seguridad que usted haya creado. Puede encontrar la lista de grupos de seguridad, por VPC, en la consola de AWS o en la EC2 consola de VPC.

Hay otros grupos de seguridad predeterminados que se utilizan con fines internos de AMS.

Grupos de seguridad predeterminados de AMS (tráfico entrante)
Tipo	Protocolo	Intervalo de puertos	Origen
Todo el tráfico	Todos	Todos	SentinelDefaultSecurityGroupPrivateOnly (restringe el tráfico saliente a los miembros del mismo grupo de seguridad)
Todo el tráfico	Todos	Todos	SentinelDefaultSecurityGroupPrivateOnlyEgressAll (no restringe el tráfico saliente)
HTTP, HTTPS, SSH, RDP	TCP	80/443 (fuente 0.0.0.0/0) Se permite el acceso SSH y RDP desde los bastiones	SentinelDefaultSecurityGroupPublic (no restringe el tráfico saliente)
Bastiones de MALZ:
SSH	TCP	22	SharedServices CIDR de VPC y CIDR de VPC DMZ, además de entornos locales proporcionados por el cliente CIDRs
SSH	TCP	22
RDP	TCP	3389
RDP	TCP	3389
Bastiones de SALZ:
SSH	TCP	22	mc-initial-garden- SG LinuxBastion
SSH	TCP	22	mc-initial-garden- LinuxBastion DMZSG
RDP	TCP	3389	mc-initial-garden- SG WindowsBastion
RDP	TCP	3389	mc-initial-garden- WindowsBastion DMZSG

Crear, cambiar o eliminar grupos de seguridad

Puede solicitar grupos de seguridad personalizados. En los casos en que los grupos de seguridad predeterminados no satisfagan las necesidades de sus aplicaciones o de su organización, puede modificar o crear nuevos grupos de seguridad. Esta solicitud se consideraría necesaria para su aprobación y sería examinada por el equipo de operaciones de AMS.

Para crear un grupo de seguridad fuera de las pilas VPCs, envíe una RFC con el tipo de Deployment | Advanced stack components | Security group | Create (review required) cambio (ct-1oxx2g2d7hc90).

Para las modificaciones de los grupos de seguridad de Active Directory (AD), utilice los siguientes tipos de cambios:

Para añadir un usuario: envíe un RFC mediante Management | Directory Service | Usuarios y grupos | Añadir usuario al grupo [ct-24pi85mjtza8k]
Para eliminar un usuario: envíe un RFC mediante Management | Directory Service | Users and groups | Eliminar usuario del grupo [ct-2019s9y3nfml4]

nota

Cuando utilice la opción «revisión obligatoria» CTs, AMS recomienda que utilice la opción de programación lo antes posible (elija ASAP en la consola y deje en blanco la hora de inicio y finalización en la API/CLI), ya que CTs requiere que un operador de AMS examine la RFC y, posiblemente, se comunique con usted antes de que pueda aprobarse y ejecutarse. Si las programa RFCs, asegúrese de esperar al menos 24 horas. Si la aprobación no se produce antes de la hora de inicio programada, la RFC se rechaza automáticamente.

Busque grupos de seguridad

Para buscar los grupos de seguridad adjuntos a una pila o instancia, utilice la EC2 consola. Tras encontrar la pila o la instancia, podrá ver todos los grupos de seguridad asociados a ella.

Para obtener información sobre cómo buscar grupos de seguridad en la línea de comandos y filtrar los resultados, consulte describe-security-groups.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Control de seguridad para sistemas end-of-support operativos

Controles preventivos y de detección