Nozioni di base sulle regole dei gruppi di sicurezza Componenti di una regola di un gruppo di sicurezza Riferimenti dei gruppi di sicurezza Dimensioni dei gruppi di sicurezza Regole obsolete del gruppo di sicurezza

Regole del gruppo di sicurezza

Le regole di un gruppo di sicurezza controllano il traffico in entrata autorizzato a raggiungere le risorse associate al gruppo di sicurezza. e il traffico in uscita autorizzato a lasciarle.

Puoi aggiungere o rimuovere le regole di un gruppo di sicurezza (autorizzazione o revoca dell'accesso in entrata o in uscita). Una regola si applica al traffico in entrata (ingresso) o al traffico in uscita (uscita). Puoi concedere l'accesso a un'origine o a una destinazione specifica.

Indice

Nozioni di base sulle regole dei gruppi di sicurezza
Componenti di una regola di un gruppo di sicurezza
Riferimenti dei gruppi di sicurezza
Dimensioni dei gruppi di sicurezza
Regole obsolete del gruppo di sicurezza

Nozioni di base sulle regole dei gruppi di sicurezza

Di seguito sono riportate le caratteristiche delle regole dei gruppi di sicurezza:

Puoi specificare regole che autorizzano, non regole che negano.
Al momento della sua creazione, un gruppo di sicurezza è privo di regole in entrata. Di conseguenza, non è consentito alcun traffico in entrata fino a quando al gruppo di sicurezza non vengono aggiunte regole in entrata.
Quando si crea per la prima volta un gruppo di sicurezza, questo include una regola in uscita che consente tutto il traffico in uscita dalla risorsa. Puoi rimuovere la regola e aggiungere regole in uscita che autorizzano l'uscita solo di un determinato tipo di traffico. Se un gruppo di sicurezza è privo di regole in uscita, non viene autorizzato alcun traffico in uscita.
Se si associano a una risorsa molteplici gruppi di sicurezza, le regole di ciascun gruppo di sicurezza vengono aggregate efficacemente per creare un unico set di regole utilizzate per determinare se consentire l'accesso o meno.
Quando si aggiunge, aggiorna o rimuove delle regole, queste si applicano automaticamente a tutte le risorse associate al gruppo di sicurezza. Per istruzioni, consulta Configurazione delle regole per i gruppi di sicurezza.
Gli effetti di alcune modifiche delle regole possono dipendere dalle modalità di monitoraggio del traffico. Per maggiori informazioni, consulta Tracciamento delle connessioni nella Guida dell'utente di Amazon EC2.
Quando si crea una regola del gruppo di sicurezza, AWS assegna un ID univoco alla regola. È possibile utilizzare l'ID di una regola quando si utilizza l'API o la CLI per modificare o eliminare la regola.

Limitazione

I gruppi di sicurezza non possono bloccare le richieste DNS da o verso Route 53 Resolver, talvolta denominato “indirizzo IP VPC+2” (consulta Amazon Route 53 Resolver nella Guida per gli sviluppatori di Amazon Route 53) oppure AmazonProvidedDNS. Per filtrare le richieste DNS attraverso il risolutore Route 53, utilizza DNS Firewall per il risolutore Route 53.

Componenti di una regola di un gruppo di sicurezza

Di seguito vengono riportati i componenti delle regole del gruppo di sicurezza in entrata e in uscita:

Protocollo: il protocollo da autorizzare. I protocolli più comuni sono 6 (TCP) 17 (UDP) e 1 (ICMP).
Intervallo di porte: per un protocollo personalizzato o per TCP e UDP, l'intervallo di porte da autorizzare. Puoi specificare un solo numero di porta (ad esempio 22) o un intervallo dei numeri di porta (ad esempio 7000-8000).
Tipo e codice ICMP: per ICMP, il tipo e il codice ICMP. Ad esempio, utilizza il tipo 8 per la richiesta Echo ICMP o il tipo 128 per la richiesta Echo ICMPv6. Per ulteriori informazioni, consulta Rules for ping/ICMP nella Guida per l’utente di Amazon EC2.
Origine o destinazione: l'origine (regole in entrata) o la destinazione (regole in uscita) del traffico da consentire. Specifica una delle seguenti proprietà:
- Un singolo indirizzo IPv4. Devi utilizzare la lunghezza del prefisso /32. Ad esempio, 203.0.113.1/32.
- Un singolo indirizzo IPv6. Devi utilizzare la lunghezza del prefisso /128. Ad esempio, 2001:db8:1234:1a00::123/128.
- Un intervallo di indirizzi IPv4 in notazione a blocco CIDR. Ad esempio, 203.0.113.0/24.
- Un intervallo di indirizzi IPv6 in notazione a blocco CIDR. Ad esempio, 2001:db8:1234:1a00::/64.
- L'ID di un elenco di prefissi. Ad esempio, pl-1234abc1234abc123. Per ulteriori informazioni, consulta Elenchi di prefissi gestiti.
- L'ID di un gruppo di sicurezza. Ad esempio, sg-1234567890abcdef0. Per ulteriori informazioni, consulta Riferimenti dei gruppi di sicurezza.
(Opzionale) Descrizione: puoi aggiungere una descrizione della regola, per semplificarne l'identificazione in un secondo momento. Una descrizione può essere lunga fino a 255 caratteri. I caratteri consentiti sono a-z, A-Z, 0-9, spazi e ._-:/()#,@[]+=;{}!$*.

Per vedere esempi, consulta Security group rules for different use cases nella Guida per l’utente di Amazon EC2.

Riferimenti dei gruppi di sicurezza

Quando specifichi un gruppo di sicurezza come origine o destinazione di una regola, la regola interessa tutte le istanze associate ai gruppi di sicurezza. Le istanze possono comunicare nella direzione specificata utilizzando gli indirizzi IP privati delle istanze tramite il protocollo e la porta specificati.

Ad esempio, la tabella seguente rappresenta una regola in entrata per un gruppo di sicurezza che si riferisce al gruppo di sicurezza sg-0abcdef1234567890. Questa regola consente il traffico SSH in entrata dalle istanze associate a sg-0abcdef1234567890.

Crea	Protocollo	Intervallo porte
`sg-0abcdef1234567890`	TCP	22

Quando fai riferimento a un gruppo di sicurezza in una regola di un gruppo di sicurezza, tieni presente quanto segue:

È possibile fare riferimento a un gruppo di sicurezza nella regola in entrata di un altro gruppo se si verifica una delle seguenti condizioni:
- I gruppi di sicurezza sono associati allo stesso VPC.
- Esiste una connessione peering tra i VPC a cui sono associati i gruppi di sicurezza.
- Esiste un gateway in transito tra i VPC a cui sono associati i gruppi di sicurezza.
È possibile fare riferimento a un gruppo di sicurezza nella regola in entrata se si verifica una delle seguenti condizioni:
- I gruppi di sicurezza sono associati allo stesso VPC.
- Esiste una connessione peering tra i VPC a cui sono associati i gruppi di sicurezza.
Nessuna regola del gruppo di sicurezza di riferimento viene aggiunta al gruppo di sicurezza che vi fa riferimento.
Per le regole in entrata, le istanze EC2 associate al gruppo di sicurezza possono ricevere traffico in entrata dagli indirizzi IP privati dalle interfacce di rete delle istanze EC2 associate al gruppo di sicurezza di riferimento.
Per le regole in uscita, le istanze EC2 associate al gruppo di sicurezza possono indirizzare traffico in uscita agli indirizzi IP privati dalle interfacce di rete delle istanze EC2 associate al gruppo di sicurezza di riferimento.
I gruppi di sicurezza di riferimento non sono autorizzati per le seguenti operazioni: AuthorizeSecurityGroupIngress, AuthorizeSecurityGroupEgress, RevokeSecurityGroupIngress e RevokeSecurityGroupEgress. In questi casi, verifichiamo solo che il gruppo di sicurezza esista. I risultati sono illustrati di seguito:
- L’indicazione del gruppo di sicurezza di riferimento nelle policy IAM per queste operazioni non ha alcun effetto.
- Se un gruppo di sicurezza di riferimento è di proprietà di un altro account, l’account proprietario non riceve eventi CloudTrail per queste operazioni.

Limitazione

Se le route vengono configurate per inoltrare il traffico tra due istanze in sottoreti diverse attraverso un'appliance middlebox, è necessario assicurarsi che i gruppi di sicurezza per entrambe le istanze consentano il flusso del traffico tra le istanze. Il gruppo di sicurezza per ogni istanza deve fare riferimento all'indirizzo IP privato dell'altra istanza o all'intervallo CIDR della sottorete che contiene l'altra istanza come origine. Se si fa riferimento al gruppo di sicurezza dell'altra istanza come origine, allora il flusso del traffico tra le istanze non sarà consentito.

Esempio

Il seguente diagramma mostra un VPC con sottoreti in due zone di disponibilità, un gateway Internet e un Application Load Balancer. Ogni zona di disponibilità ha una sottorete pubblica per i server web e una sottorete privata per i server di database. Esistono gruppi di sicurezza separati per il sistema di bilanciamento del carico, i server web e i server di database. Crea le seguenti regole del gruppo di sicurezza per consentire il traffico.

Aggiungi regole al gruppo di sicurezza del sistema di bilanciamento del carico per consentire il traffico HTTP e HTTPS da Internet. Il codice sorgente è 0.0.0.0/0.
Aggiungi regole al gruppo di sicurezza dei server Web per consentire il traffico HTTP e HTTPS solo dal sistema di bilanciamento del carico. L'origine è il gruppo di sicurezza per il sistema di bilanciamento del carico.
Aggiungi regole al gruppo di sicurezza dei server di database per consentire le richieste dei database dai server Web. L'origine è il gruppo di sicurezza dei server Web.

Architettura con server web e db, gruppi di sicurezza, gateway Internet e bilanciatori del carico

Dimensioni dei gruppi di sicurezza

Il tipo di origine o destinazione determina la modalità con cui ogni regola viene conteggiata ai fini del numero massimo di regole che è possibile avere per ogni gruppo di sicurezza.

Una regola che fa riferimento a un blocco CIDR viene conteggiata come regola singola.
Una regola che fa riferimento a un altro gruppo di sicurezza viene conteggiata come regola singola, indipendentemente dalle dimensioni del gruppo di sicurezza di riferimento.
Una regola che fa riferimento a un elenco di prefissi gestito dal cliente viene conteggiata in base alla dimensione massima dell'elenco di prefissi. Ad esempio, se la dimensione massima dell'elenco di prefissi è 20, una regola che fa riferimento a questo elenco di prefissi viene conteggiata come 20 regole.
Una regola che fa riferimento a un elenco di prefissi gestito da AWS viene conteggiata in base al peso dell’elenco di prefissi. Ad esempio, se il peso dell'elenco di prefissi è 10, una regola che fa riferimento a tale elenco di prefissi viene conteggiata come 10 regole. Per ulteriori informazioni, consulta Elenchi di prefissi gestiti da AWS disponibili.

Regole obsolete del gruppo di sicurezza

Se il VPC ha una connessione peering VPC con un altro VPC, o se utilizza un VPC condiviso da un altro account, una regola del gruppo di sicurezza potrebbe fare riferimento all'altro gruppo di sicurezza nel VPC simile o condiviso. Ciò consente alle risorse associate al gruppo di sicurezza e a quelle associate al gruppo di protezione di riferimento di comunicare tra loro. Per ulteriori informazioni, consulta la sezione relativa all'aggiornamento dei gruppi di sicurezza per fare riferimento ai gruppi di sicurezza in peering nella Guida ad Amazon VPC Peering.

Se disponi di una regola del gruppo di sicurezza che fa riferimento a un gruppo in un VPC in peering o condiviso e il gruppo di sicurezza nel VPC condiviso viene eliminato o la connessione peering VPC viene eliminata, la regola del gruppo viene contrassegnata come obsoleta. Le regole obsolete possono essere Eliminate nello stesso modo delle altre regole del gruppo di sicurezza.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Gruppi di sicurezza

Gruppi di sicurezza predefiniti