एकाधिक EC2 सुरक्षा समूह - अनुमेय या प्रतिबंधात्मक?


27

क्या होता है जब मैं एक उदाहरण में कई सुरक्षा समूह प्रदान करता हूं? क्या यह इस अर्थ में अनुमति योग्य है कि यदि किसी एक सुरक्षा समूह इसे अनुमति देता है तो यातायात की अनुमति है। या क्या यह इस अर्थ में प्रतिबंधात्मक है कि प्रत्येक सुरक्षा समूह को इसमें ट्रैफ़िक की अनुमति दी जानी चाहिए?

उदाहरण के लिए, मैं कहता हूं कि मेरे पास ऐसे उदाहरण हैं जो केवल उसी खाते में अन्य उदाहरणों से बात करेंगे। मेरे पास इंस्टेंस का एक वर्ग है जो केवल HTTP (पोर्ट 80) के माध्यम से ट्रैफ़िक को स्वीकार करेगा।

क्या दो सुरक्षा समूहों को बनाने और लागू करने से केवल आंतरिक उदाहरणों तक और केवल HTTP के माध्यम से पहुंच को प्रतिबंधित करना संभव है:

  1. एक "आंतरिक" सुरक्षा समूह। सभी बंदरगाहों (टीसीपी, यूडीपी, आईसीएमपी) के लिए सभी बंदरगाहों पर उस सुरक्षा समूह के अन्य सदस्यों से सभी ट्रैफ़िक की अनुमति दें
  2. एक "http" सुरक्षा समूह बनाएं। किसी भी स्रोत से TCP के माध्यम से पोर्ट 80 में सभी ट्रैफ़िक को अनुमति दें।

या क्या मैं एक एकल सुरक्षा समूह बनाने के लिए मजबूर हूं जो पोर्ट 80 से यातायात की अनुमति देता है जहां स्रोत स्वयं है?

जवाबों:


5

यदि किसी उदाहरण में कई सुरक्षा समूह हैं, तो इसके पास विभिन्न समूहों में सभी नियमों का योग है।

उदाहरण के लिए, मैं कहता हूं कि मेरे पास ऐसे उदाहरण हैं जो केवल उसी खाते में अन्य उदाहरणों से बात करेंगे। मेरे पास उदाहरणों का एक वर्ग है जो केवल http (पोर्ट 80) के माध्यम से यातायात को स्वीकार करेगा।

यह AWS वर्चुअल प्राइवेट क्लाउड के लिए एक आदर्श स्थिति है। निजी सबनेट में आंतरिक उदाहरण रखें, और सार्वजनिक सबनेट में सार्वजनिक-सामना करने वाले उदाहरण।


ceejayoz - तो यह "प्रतिबंधात्मक" मामला है? मतलब दो सुरक्षा समूह समाधान काम करेंगे? VPC समाधान के बारे में सहमत; मेरा उदाहरण यह समझने के लिए अधिक था कि कितने समूह काम करते हैं। आपको इसका जवाब कहां से मिला?
SFun28

आप आंतरिक उदाहरणों के लिए एक सुरक्षा समूह चाहते हैं, और सार्वजनिक-सामना करने वाले उदाहरणों के लिए एक और। सार्वजनिक-सामना करने वाले 80: 0.0.0.0/0 समूह को आंतरिक उदाहरणों में जोड़ने से उन्हें सार्वजनिक इंटरनेट उपलब्ध होगा।
सिजयोज़

1
बस सुपर स्पष्ट होने के लिए, आप कह रहे हैं कि यदि कोई व्यक्तिगत सुरक्षा समूह इसे अनुमति देता है तो ट्रैफिक में क्या है? मुझे आपकी टिप्पणी के बारे में "सभी नियमों के योग" के बारे में बताया जा रहा है क्योंकि जब मैं योग के बारे में सोचता हूं तो इसके बजाय या।
22un में SFun28

2
हां, यदि किसी समूह पर लागू किया गया उदाहरण इसे अनुमति देता है, तो इसकी अनुमति है। समूह के नियम एक साथ ओर्डेड हैं, न कि एंडेड।
सिजयोज़ 20

7
लोग सिर्फ इस सवाल का जवाब नहीं दे सकते हैं कि क्या किया जाना चाहिए, इसका विचार डालने के बजाय। यदि आप ऐसा करने जा रहे हैं तो कम से कम पहले प्रश्न का उत्तर ठीक से दें। चीज़
विधेयक Rosmus

28

अनुमोदक।

AWS के अनुसार यहां: http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/use-network-security.html#security-group-rules

यदि किसी विशिष्ट पोर्ट के लिए एक से अधिक नियम हैं, तो हम सबसे अधिक अनुमत नियम लागू करते हैं। उदाहरण के लिए, यदि आपके पास एक नियम है जो आईपी पते 203.0.113.1 से टीसीपी पोर्ट 22 (एसएसएच) तक पहुंचने की अनुमति देता है और एक अन्य नियम जो सभी से टीसीपी पोर्ट 22 तक पहुंच की अनुमति देता है, तो सभी के पास टीसीपी पोर्ट 22 तक पहुंच है।


3

यहाँ AWS प्रलेखन समर्थन से प्रतिक्रिया है। उन्होंने कहा कि वे प्रलेखन अद्यतन करेंगे:

मुझे चर्चा मंच के कुछ जोड़े मिले जो एक या अधिक सुरक्षा समूहों के भीतर परस्पर विरोधी नियमों के साथ समान मुद्दों को संबोधित करते हैं:

https://forums.aws.amazon.com/thread.jspa?messageID=221768

https://forums.aws.amazon.com/thread.jspa?messageID=349244吼

जब कई सुरक्षा समूहों को एक उदाहरण के लिए लागू किया जाता है, तो नियमों को एक बड़े सेट का नियम बनाने के लिए एकत्र किया जाता है। EC2 में, सुरक्षा समूह के नियम केवल अनुमेय हैं, दूसरे शब्दों में, आप किसी भी नियम को नहीं जोड़ सकते। इसका मतलब यह है कि सबसे अधिक अनुमत नियम हमेशा लागू होगा। उदाहरण के लिए, यदि आपके पास एक सुरक्षा समूह है जो आईपी एड्रेस 10.10.10.10 से 22 पोर्ट को एक्सेस करने की अनुमति देता है, और एक अन्य सुरक्षा समूह जो सभी से 22 पोर्ट एक्सेस करने की अनुमति देता है, सभी के पास एक्सेस 22 पोर्ट पर पहुंच जाएगा।


0

जब आप किसी नियम के लिए सुरक्षा समूह को स्रोत या गंतव्य के रूप में निर्दिष्ट करते हैं, तो नियम सुरक्षा समूह से जुड़े सभी उदाहरणों को प्रभावित करता है। इनकमिंग ट्रैफ़िक को उन इंस्टेंस के निजी आईपी पतों के आधार पर अनुमति दी जाती है जो स्रोत सुरक्षा समूह (और सार्वजनिक आईपी या इलास्टिक आईपी पतों) के साथ जुड़े होते हैं। IP पते के बारे में अधिक जानकारी के लिए, Amazon EC2 Instance IP पता देखें। यदि आपका सुरक्षा समूह नियम किसी सहकर्मी VPC में एक सुरक्षा समूह का संदर्भ देता है, और संदर्भित सुरक्षा समूह या VPC peering कनेक्शन हटा दिया जाता है, तो नियम को बासी के रूप में चिह्नित किया जाता है। अधिक जानकारी के लिए, Amazon VPC Peering Guide में बासी सुरक्षा समूह नियमों के साथ कार्य करना देखें।

यदि किसी विशिष्ट पोर्ट के लिए एक से अधिक नियम हैं, तो हम सबसे अधिक अनुमत नियम लागू करते हैं। उदाहरण के लिए, यदि आपके पास एक नियम है जो आईपी पते 203.0.113.1 से टीसीपी पोर्ट 22 (एसएसएच) तक पहुंचने की अनुमति देता है और एक अन्य नियम जो सभी से टीसीपी पोर्ट 22 तक पहुंच की अनुमति देता है, तो सभी के पास टीसीपी पोर्ट 22 तक पहुंच है।

जब आप कई सुरक्षा समूहों को एक उदाहरण के साथ जोड़ते हैं, तो प्रत्येक सुरक्षा समूह के नियमों को प्रभावी रूप से नियमों के एक समूह को बनाने के लिए एकत्र किया जाता है। हम नियमों के इस सेट का उपयोग यह निर्धारित करने के लिए करते हैं कि क्या एक्सेस की अनुमति है।

सावधानी क्योंकि आप कई सुरक्षा समूहों को एक उदाहरण के लिए असाइन कर सकते हैं, एक उदाहरण में सैकड़ों नियम हो सकते हैं जो लागू होते हैं। जब आप उदाहरण तक पहुँचते हैं तो यह समस्या हो सकती है। इसलिए, हम अनुशंसा करते हैं कि आप अपने नियमों का यथासंभव पालन करें।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.