Grupos de segurança - Guia do usuário avançado do AMS
Security groups padrãoCriar, alterar ou excluir grupos de segurançaEncontre grupos de segurança

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Grupos de segurança

Na AWS VPCs, os grupos de segurança da AWS atuam como firewalls virtuais, controlando o tráfego de uma ou mais pilhas (uma instância ou um conjunto de instâncias). Quando uma pilha é iniciada, ela é associada a um ou mais grupos de segurança, que determinam qual tráfego pode chegar até ela:

  • Para pilhas em suas sub-redes públicas, os grupos de segurança padrão aceitam tráfego de HTTP (80) e HTTPS (443) de todos os locais (a Internet). As pilhas também aceitam tráfego SSH e RDP interno da sua rede corporativa e dos bastiões da AWS. Essas pilhas podem então sair por qualquer porta para a Internet. Eles também podem sair para suas sub-redes privadas e outras pilhas em sua sub-rede pública.

  • As pilhas em suas sub-redes privadas podem sair para qualquer outra pilha em sua sub-rede privada, e as instâncias dentro de uma pilha podem se comunicar totalmente entre si por meio de qualquer protocolo.

Importante

O grupo de segurança padrão para pilhas em sub-redes privadas permite que todas as pilhas em sua sub-rede privada se comuniquem com outras pilhas nessa sub-rede privada. Se quiser restringir as comunicações entre pilhas em uma sub-rede privada, você deve criar novos grupos de segurança que descrevam a restrição. Por exemplo, se você quiser restringir as comunicações com um servidor de banco de dados para que as pilhas nessa sub-rede privada só possam se comunicar de um servidor de aplicativos específico por meio de uma porta específica, solicite um grupo de segurança especial. Como fazer isso está descrito nesta seção.

Security groups padrão

MALZ

A tabela a seguir descreve as configurações padrão do grupo de segurança de entrada (SG) para suas pilhas. O SG é chamado de "SentinelDefaultSecurityGroupPrivateOnly-VPC-ID”, onde está ID um ID de VPC em sua conta de landing zone com várias contas do AMS. Todo o tráfego pode ser enviado para "mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly" por meio desse grupo de segurança (todo o tráfego local nas sub-redes da pilha é permitido).

Todo o tráfego pode ser enviado para 0.0.0.0/0 por um segundo grupo de segurança "”. SentinelDefaultSecurityGroupPrivateOnly

dica

Se você estiver escolhendo um grupo de segurança para um tipo de alteração do AMS, como EC2 OpenSearch criar ou criar domínio, você usaria um dos grupos de segurança padrão descritos aqui ou um grupo de segurança criado por você. Você pode encontrar a lista de grupos de segurança, por VPC, no console da AWS ou no EC2 console da VPC.

Há grupos de segurança padrão adicionais que são usados para fins internos do AMS.

Grupos de segurança padrão do AMS (tráfego de entrada)
Tipo Protocolo Intervalo de portas Origem

Todo o tráfego

Tudo

Todos

SentinelDefaultSecurityGroupPrivateOnly (restringe o tráfego de saída a membros do mesmo grupo de segurança)

Todo o tráfego

Tudo

Todos

SentinelDefaultSecurityGroupPrivateOnlyEgressAll (não restringe o tráfego de saída)

HTTP, HTTPS, SSH, RDP

TCP

80/443 (Fonte 0.0.0.0/0)

O acesso SSH e RDP é permitido a partir dos bastiões

SentinelDefaultSecurityGroupPublic (não restringe o tráfego de saída)

Bastiões MALZ:

SSH

TCP

22

SharedServices VPC CIDR e DMZ VPC CIDR, além de VPC CIDR fornecido pelo cliente CIDRs

SSH

TCP

22

RDP

TCP

3389

RDP

TCP

3389

Bastiões de SALZ:

SSH

TCP

22

mc-initial-garden- LinuxBastion SG

SSH

TCP

22

mc-initial-garden- LinuxBastion DMZSG

RDP

TCP

3389

mc-initial-garden- WindowsBastion SG

RDP

TCP

3389

mc-initial-garden- WindowsBastion DMZSG

SALZ

A tabela a seguir descreve as configurações padrão do grupo de segurança de entrada (SG) para suas pilhas. O SG é denominado "mc-initial-garden- SentinelDefaultSecurityGroupPrivateOnly -ID", onde ID é um identificador exclusivo. Todo o tráfego pode ser enviado para "mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly" por meio desse grupo de segurança (todo o tráfego local nas sub-redes da pilha é permitido).

Todo o tráfego pode ser enviado para 0.0.0.0/0 por um segundo grupo de segurança "- -”. mc-initial-garden SentinelDefaultSecurityGroupPrivateOnlyEgressAll ID

dica

Se você estiver escolhendo um grupo de segurança para um tipo de alteração do AMS, como EC2 OpenSearch criar ou criar domínio, você usaria um dos grupos de segurança padrão descritos aqui ou um grupo de segurança criado por você. Você pode encontrar a lista de grupos de segurança, por VPC, no console da AWS ou no EC2 console da VPC.

Há grupos de segurança padrão adicionais que são usados para fins internos do AMS.

Grupos de segurança padrão do AMS (tráfego de entrada)
Tipo Protocolo Intervalo de portas Origem

Todo o tráfego

Tudo

Todos

SentinelDefaultSecurityGroupPrivateOnly (restringe o tráfego de saída a membros do mesmo grupo de segurança)

Todo o tráfego

Tudo

Todos

SentinelDefaultSecurityGroupPrivateOnlyEgressAll (não restringe o tráfego de saída)

HTTP, HTTPS, SSH, RDP

TCP

80/443 (Fonte 0.0.0.0/0)

O acesso SSH e RDP é permitido a partir dos bastiões

SentinelDefaultSecurityGroupPublic (não restringe o tráfego de saída)

Bastiões MALZ:

SSH

TCP

22

SharedServices VPC CIDR e DMZ VPC CIDR, além de VPC CIDR fornecido pelo cliente CIDRs

SSH

TCP

22

RDP

TCP

3389

RDP

TCP

3389

Bastiões de SALZ:

SSH

TCP

22

mc-initial-garden- LinuxBastion SG

SSH

TCP

22

mc-initial-garden- LinuxBastion DMZSG

RDP

TCP

3389

mc-initial-garden- WindowsBastion SG

RDP

TCP

3389

mc-initial-garden- WindowsBastion DMZSG

Criar, alterar ou excluir grupos de segurança

Você pode solicitar grupos de segurança personalizados. Nos casos em que os grupos de segurança padrão não atendam às necessidades dos seus aplicativos ou da sua organização, você pode modificar ou criar novos grupos de segurança. Essa solicitação seria considerada necessária para aprovação e seria analisada pela equipe de operações da AMS.

Para criar um grupo de segurança fora das pilhas e VPCs enviar uma RFC usando o tipo de Deployment | Advanced stack components | Security group | Create (review required) alteração (ct-1oxx2g2d7hc90).

Para modificações no grupo de segurança do Active Directory (AD), use os seguintes tipos de alteração:

  • Para adicionar um usuário: Envie um RFC usando Management | Directory Service | Usuários e grupos | Adicionar usuário ao grupo [ct-24pi85mjtza8k]

  • Para remover um usuário: envie um RFC usando Management | Directory Service | Usuários e grupos | Remover usuário do grupo [ct-2019s9y3nfml4]

nota

Ao usar “revisão obrigatória” CTs, o AMS recomenda que você use a opção ASAP Scheduling (escolha ASAP no console, deixe a hora de início e término em branco na API/CLI), pois isso CTs exige que um operador do AMS examine a RFC e, possivelmente, se comunique com você antes que ela possa ser aprovada e executada. Se você agendá-los RFCs, aguarde pelo menos 24 horas. Se a aprovação não ocorrer antes do horário de início programado, a RFC será rejeitada automaticamente.

Encontre grupos de segurança

Para encontrar os grupos de segurança anexados a uma pilha ou instância, use o EC2 console. Depois de encontrar a pilha ou instância, você pode ver todos os grupos de segurança anexados a ela.

Para saber como encontrar grupos de segurança na linha de comando e filtrar a saída, consulte describe-security-groups.