Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Gruppi di sicurezza
In AWS VPCs, i gruppi di sicurezza AWS agiscono come firewall virtuali, controllando il traffico per uno o più stack (un'istanza o un insieme di istanze). Quando uno stack viene lanciato, viene associato a uno o più gruppi di sicurezza, che determinano a quale traffico è consentito raggiungerlo:
Per gli stack nelle sottoreti pubbliche, i gruppi di sicurezza predefiniti accettano il traffico proveniente da HTTP (80) e HTTPS (443) da tutte le posizioni (Internet). Gli stack accettano anche traffico SSH e RDP interno dalla rete aziendale e dai bastioni AWS. Questi stack possono quindi uscire attraverso qualsiasi porta verso Internet. Possono inoltre accedere alle sottoreti private e ad altri stack della sottorete pubblica.
Gli stack delle sottoreti private possono passare a qualsiasi altro stack della sottorete privata e le istanze all'interno di uno stack possono comunicare completamente tra loro tramite qualsiasi protocollo.
Il gruppo di sicurezza predefinito per gli stack nelle sottoreti private consente a tutti gli stack della sottorete privata di comunicare con altri stack in quella sottorete privata. Se si desidera limitare le comunicazioni tra gli stack all'interno di una sottorete privata, è necessario creare nuovi gruppi di sicurezza che descrivano la restrizione. Ad esempio, se desiderate limitare le comunicazioni a un server di database in modo che gli stack di quella sottorete privata possano comunicare solo da un server di applicazioni specifico tramite una porta specifica, richiedete un gruppo di sicurezza speciale. In questa sezione viene descritto come eseguire questa operazione.
Gruppi di sicurezza predefiniti
- MALZ
-
La tabella seguente descrive le impostazioni predefinite del gruppo di sicurezza in entrata (SG) per gli stack. L'SG si chiama "SentinelDefaultSecurityGroupPrivateOnly-VPC-ID», dove è ID un ID VPC nel tuo account di landing zone multi-account AMS. Tutto il traffico in uscita è consentito verso "mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly" tramite questo gruppo di sicurezza (è consentito tutto il traffico locale all'interno delle sottoreti dello stack).
Tutto il traffico in uscita è consentito a 0.0.0.0/0 da un secondo gruppo di sicurezza "». SentinelDefaultSecurityGroupPrivateOnly
Se scegli un gruppo di sicurezza per un tipo di modifica AMS, come EC2 creare o OpenSearch creare un dominio, utilizzerai uno dei gruppi di sicurezza predefiniti descritti qui o un gruppo di sicurezza creato da te. Puoi trovare l'elenco dei gruppi di sicurezza, per VPC, nella EC2 console AWS o nella console VPC.
Esistono gruppi di sicurezza predefiniti aggiuntivi che vengono utilizzati per scopi AMS interni.
Gruppi di sicurezza AMS predefiniti (traffico in entrata)
| Tipo |
Protocollo |
Intervallo porte |
Origine |
Tutto il traffico |
Tutti |
Tutti |
SentinelDefaultSecurityGroupPrivateOnly (limita il traffico in uscita ai membri dello stesso gruppo di sicurezza) |
Tutto il traffico |
Tutti |
Tutti |
SentinelDefaultSecurityGroupPrivateOnlyEgressAll (non limita il traffico in uscita) |
HTTP, HTTPS, SSH, RDP |
TCP |
80/443 (Fonte 0.0.0.0/0)
L'accesso SSH e RDP è consentito dai bastioni |
SentinelDefaultSecurityGroupPublic (non limita il traffico in uscita) |
Bastioni MALZ: |
SSH |
TCP |
22 |
SharedServices VPC CIDR e DMZ VPC CIDR, oltre a soluzioni on-premise fornite dal cliente CIDRs |
SSH |
TCP |
22 |
RDP |
TCP |
3389 |
RDP |
TCP |
3389 |
Bastioni SALZ: |
SSH |
TCP |
22 |
mc-initial-garden- SG LinuxBastion |
SSH |
TCP |
22 |
mc-initial-garden- LinuxBastion DMSG |
RDP |
TCP |
3389 |
mc-initial-garden- WindowsBastion SG |
RDP |
TCP |
3389 |
mc-initial-garden- WindowsBastion DMSG |
- SALZ
-
La tabella seguente descrive le impostazioni predefinite del gruppo di sicurezza in entrata (SG) per gli stack. L'SG è denominato "mc-initial-garden- SentinelDefaultSecurityGroupPrivateOnly -ID" dove ID è un identificatore univoco. Tutto il traffico in uscita è consentito verso "mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly" tramite questo gruppo di sicurezza (è consentito tutto il traffico locale all'interno delle sottoreti dello stack).
Tutto il traffico in uscita è consentito a 0.0.0.0/0 da un secondo gruppo di sicurezza "- -». mc-initial-garden SentinelDefaultSecurityGroupPrivateOnlyEgressAll ID
Se scegli un gruppo di sicurezza per un tipo di modifica AMS, come EC2 creare o OpenSearch creare un dominio, utilizzerai uno dei gruppi di sicurezza predefiniti descritti qui o un gruppo di sicurezza creato da te. Puoi trovare l'elenco dei gruppi di sicurezza, per VPC, nella EC2 console AWS o nella console VPC.
Esistono gruppi di sicurezza predefiniti aggiuntivi che vengono utilizzati per scopi AMS interni.
Gruppi di sicurezza AMS predefiniti (traffico in entrata)
| Tipo |
Protocollo |
Intervallo porte |
Origine |
Tutto il traffico |
Tutti |
Tutti |
SentinelDefaultSecurityGroupPrivateOnly (limita il traffico in uscita ai membri dello stesso gruppo di sicurezza) |
Tutto il traffico |
Tutti |
Tutti |
SentinelDefaultSecurityGroupPrivateOnlyEgressAll (non limita il traffico in uscita) |
HTTP, HTTPS, SSH, RDP |
TCP |
80/443 (Fonte 0.0.0.0/0)
L'accesso SSH e RDP è consentito dai bastioni |
SentinelDefaultSecurityGroupPublic (non limita il traffico in uscita) |
Bastioni MALZ: |
SSH |
TCP |
22 |
SharedServices VPC CIDR e DMZ VPC CIDR, oltre a soluzioni on-premise fornite dal cliente CIDRs |
SSH |
TCP |
22 |
RDP |
TCP |
3389 |
RDP |
TCP |
3389 |
Bastioni SALZ: |
SSH |
TCP |
22 |
mc-initial-garden- SG LinuxBastion |
SSH |
TCP |
22 |
mc-initial-garden- LinuxBastion DMSG |
RDP |
TCP |
3389 |
mc-initial-garden- WindowsBastion SG |
RDP |
TCP |
3389 |
mc-initial-garden- WindowsBastion DMSG |
Creare, modificare o eliminare gruppi di sicurezza
È possibile richiedere gruppi di sicurezza personalizzati. Nei casi in cui i gruppi di sicurezza predefiniti non soddisfano le esigenze delle applicazioni o dell'organizzazione, è possibile modificare o creare nuovi gruppi di sicurezza. Tale richiesta sarebbe considerata obbligatoria per l'approvazione e verrebbe esaminata dal team operativo AMS.
Per creare un gruppo di sicurezza al di fuori degli stack VPCs, invia una RFC utilizzando il tipo di Deployment | Advanced stack components | Security group | Create (review required) modifica (ct-1oxx2g2d7hc90).
Per le modifiche ai gruppi di sicurezza Active Directory (AD), utilizza i seguenti tipi di modifica:
Per aggiungere un utente: invia una RFC utilizzando Management | Directory Service | Utenti e gruppi | Aggiungi utente al gruppo [ct-24pi85mjtza8k]
Per rimuovere un utente: invia una RFC utilizzando Management | Directory Service | Utenti e gruppi | Rimuovi utente dal gruppo [ct-2019s9y3nfml4]
Quando si utilizza «review required» CTs, AMS consiglia di utilizzare l'opzione ASAP Scheduling (scegliere ASAP nella console, lasciare vuote le date di inizio e fine nell'API/CLI) in quanto CTs richiedono che un operatore AMS esamini la RFC ed eventualmente comunichi con l'utente prima che possa essere approvata ed eseguita. Se li pianifichi RFCs, assicurati di attendere almeno 24 ore. Se l'approvazione non avviene prima dell'orario di inizio programmato, la RFC viene rifiutata automaticamente.
Trova gruppi di sicurezza
Per trovare i gruppi di sicurezza collegati a uno stack o a un'istanza, usa la EC2 console. Dopo aver trovato lo stack o l'istanza, puoi vedere tutti i gruppi di sicurezza ad esso collegati.
Per informazioni su come trovare i gruppi di sicurezza nella riga di comando e filtrare l'output, consulta describe-security-groups.
