Первоначально опубликовано в https://cyral.com/blog/from-firewalls-security-groups
Несколько крупных предприятий, с которыми мы работаем в Cyral, работают над переходом в полностью облачную архитектуру и в конечном итоге опираются на нас как на партнера, чтобы помочь им полностью использовать все инструменты в их распоряжении (один из наших инженеров недавно поделился этим превосходным презентация Он сделал перед банком). Одна из распространенных тем, которые мы видим,-это команды безопасности, беспокоящихся о том, что брандмауэры становятся менее эффективными в облачном коренном мире, и мы часто объясняем, как такие инструменты, как группы безопасности AWS, еще более мощные и могут использоваться вместо этого. Мы подумали, что стоит написать сообщение в блоге на эту тему.
В течение десятилетий компании опирались только на физические сетевые устройства, называемые брандмауэрами, чтобы отключиться и защищать свой цифровой след. С помощью метеорического роста и внедрения облачных вычислений эти устройства были заменены программными элементами управления доступом, которые в настоящее время защищают все более сложную облачную нативную инфраструктуру. В традиционной сетевой среде был размещен брандмауэр по периметру надежных и ненадежных зон сети, мониторинга и обычно блокируя большую часть трафика. В облачном костюме современные приложения масштабируют эфемерные ресурсы вверх и снижение в ответ на трафик. Эти эфемерные экземпляры больше не существуют исключительно в доверенной сети на месте в корпоративном офисе или в специальном центре обработки данных и требуют новых элементов управления для их защиты.
Традиционные брандмауэры были разработаны для параллельного управления физической безопасности. Термин брандмауэр впервые использовался Т. Лайтлером в 1764 году [1] в дизайне зданий для отделения комнат от других, которые, скорее всего, будут иметь огонь, такой как кухня. Брандмауэры все еще используются в современном строительстве по сей день. В зависимости от типа строительства, брандмауэры используются для замедления распространения пожара, между комнатами в доме с одной семейной или между соседними зданиями, такими как в ряд дома или в таунхауме, чтобы жители могли убежать [ 2 ] В физическом мире брандмауэры оцениваются в течение времени, предоставленного для замедления пожара [ 3 ] В цифровом мире, тем не менее, брандмауэры часто считаются полностью блокирующими наружными угрозами, а не просто как временный барьер, который в конечном итоге можно нарушить.
Брандмауэры сетевого устройства были реализованы, чтобы функционировать как ворота или физические стены замка, как выдвинуто в Модель безопасности замка . Эта методология предусматривала строительные стены, которые защищали барьеры, но оставили внутреннюю часть замка незащищенным. Домашние сети и многие корпоративные офисы по -прежнему разработаны таким образом и все еще имеют устройства, выступающие в качестве брандмауэров. Эти сети, как правило, являются компьютерами конечного пользователя и не обслуживают контент для любого других пользователей. Брандмауэры компьютерной сети существовали «примерно с 1987 года», как подробно описано в История и обзор сетевых брандмауэров Опубликовано в 2002 году Кеннетом Ингем и Стефани Форрест. Брандмауэры давно обещаны как панацея для полных блокирующих атак, вместо этого их следует рассматривать как большинство физических брандмауэров: временный барьер. С этой целью многие компании в настоящее время переходят к модели с нулевым доверием, где брандмауэр является лишь первым барьером, защищающим внешнюю часть, а внутренняя часть больше не является неявно доверяем [ 4 ]
Сила виртуального брандмауэра заключается в том, что ему больше не нужно иметь только грубые фильтры только по краям сети. Виртуальные брандмауэры теперь могут быть назначены группам экземпляров, и они ссылаются другие в их конфигурации. Виртуальные брандмауэры не призываются к сегментации сети или физическому местоположению, на которое они впервые были настроены. В классической трехуровневой модели вы теперь можете создать три виртуальных брандмауэра для защиты отдельных уровней и конкретно ссылаться на эти уровни. В этой модели вы создаете отдельные брандмауэры для слоев фронта, приложений и данных. В конфигурации брандмауэра Frontend вы разрешаете HTTPS доступ только к тем случаям, которые отвечают за обслуживание контента фронта. На втором уровне вы ссылаетесь на брандмауэр Frontend только позволяя ему получить доступ к уровню приложения и блокировать широкий доступ к вашему приложению. Наконец, на уровне данных вы ссылаетесь на брандмауэр приложения и разрешаете ему прямой доступ к уровню данных, но блокируете весь другой доступ.
В Amazon Web Services (AWS) эти виртуальные брандмауэры называются группами безопасности. Одним из ключевых различий между группами безопасности AWS и классическими брандмауэрами является то, что вы можете указать только правила, которые позволяют трафик. Весь трафик неявно заблокирован, за исключением правил, которые вы определяете, чтобы разрешить. Другая ключевая особенность групп безопасности, которая может отличаться, заключается в том, что все правила являются государственными. Когда вы разрешаете трафик в конкретном порте, вам не нужно указывать правила возврата трафика. Группы безопасности функционируют аналогично классической сетевой модели брандмауэра, ваши правила разрешения указывают протокол (TCP или UDP) и порт. Группы безопасности не могут провести глубокую проверку пакетов на основе типа трафика, который он оценивает.
В приведенном ниже примере мы рассмотрим, как вы настроите три группы безопасности для классической трехсторонней архитектуры. В каждом примере мы выбираем либо предопределенный тип, который автоматически заполняет диапазон протокола и портов, или вы можете самостоятельно выбрать диапазон протокола и портов.
Рисунок 1. MyWebserver Security Group позволяет доступ к HTTP и HTTPS из любого места
Рис. 2. MyApplicationserver Group Group только позволяет доступ к HTTPS непосредственно из группы безопасности MyWebserver. Весь другой доступ неявно заблокирован
Рис. 3. MyDataBaseServer Security Group разрешает доступ только из группы безопасности MyApplicationserver. Весь другой доступ неявно заблокирован
В настоящее время AWS консолидировала конфигурацию группы безопасности на уровне VPC. В консоли вы можете получить доступ к их конфигурации со страницы EC2 или через страницу VPC. VPC также может реализовать Списки управления доступа сети (ACL), который может обеспечить еще один уровень безопасности, сродни традиционному устройству брандмауэра. Сетевые ACL следуют стандартной конвенции брандмауэра, с которой вы знакомы, включая входящие и исходящие правила, а также применение правил в порядке. Сетевые ACL лучше всего используются в качестве соблюдения разделения обязанностей, используйте сетевые ACL для обеспечения соблюдения минимальной политики и групп безопасности для мелкого управления экземплярами. Например, сетевой ACL может быть использован для обеспечения соблюдения SSH только от хоста бастиона, предотвращающего группу безопасности, открывая прямую SSH. Группы безопасности гораздо более гибки, тогда как сетевые ACL должны использоваться в качестве механизма резервного копирования.
Рис. 4. Сетевой ACL по умолчанию, предоставляя вам доступ к сети доступа к экземплярам
По мере роста вашего следа, ваши группы безопасности могут быстро вытечь из -под контроля. Мы обнаружили, что управление группами безопасности в качестве кода с Terraform или аналогично помогает с этой проблемой. Вы также должны помнить о квотах группы безопасности. По умолчанию — 2500 групп на регион и 60 входящих и 60 исходящих правил. Входящие и исходящие правила применяются отдельно для IPv4 против IPv6. В случае включения, Trusted Advisor будет помечать группы безопасности, которые имеют более 50 общих правил по причинам производительности.
AWS признал многие из ловушек, связанных с управлением группами безопасности на VPC на счет, и объявил об их AWS Firememance Manager Сервис в 2018 году. Это дополнение к службе в AWS Shield и AWS WAF. Manager Fire Enjecter AWS для групп безопасности позволяет управлять «группами безопасности для вашего Amazon VPC на нескольких учетных записях и ресурсах AWS из одного места». Подробнее об этой службе Здесь или смотреть это Технологический разговор Анкет
Группы безопасности AWS являются невероятно мощным инструментом при использовании в контексте облачной среды. Их простота и сосредоточение внимания на чистом сетевом трафике являются функцией принуждения для четкого разделения уровней инфраструктуры. Их простота также дает вам гарантию, что они не будут мешать скорости, с которой вы можете масштабировать свое приложение. Облачная инфраструктура предоставляет вам гибкость, чтобы оставить старую гвардию и сосредоточиться на том, что важнее всего.
[1] Lightoler, T. 1764. Джентльмен и фермерский архитектор. Новая работа. Содержащий большое разнообразие … дизайнов. Правильные планы и высоты пасторских и фермерских домов, домики для парков, паники, персика, горячих и зеленых домов, с пожарной стеной, загар и т. Д. Особенно описаны … Р. Сэйер, Лондон, Великобритания
Изображение Элио Рейхерта через вызов Visuals Cybersecurity Openideo в соответствии с международной лицензией Creative Commons Attribution 4.0
Оригинал: «https://dev.to/cyral/from-firewalls-to-security-groups-2d5i»