Categories
Grundlagen

Das Konzept der AWS Netzwerksicherheit

Mit Amazon EC2 können Instanzen dynamisch hinzugefügt und entfernt werden. Diese Flexibilität kann die Konfiguration und Wartung der Firewall zunehmends erschweren, da Firewall-Regeln traditionell auf Basis von IP-Adressen, Subnetzbereiche oder DNS Hostnamen basieren.

Mit der Amazon EC2 Firewall werden Instanzen benutzerdefinierten Gruppen zugewiesen und für diese Gruppen dann Firewall Regeln definiert. Wird anschließend eine Instanz einer Gruppe hinzugefügt oder wieder entfernt, werden die entsprechenden Regeln der Gruppe für diese Instanz angewendet. Änderungen an den Regeln einer Gruppe werden automatisch für alle Mitglieder der Gruppe angewendet.

Security Groups

Eine Security Group definiert Firewall Regeln für die Instanzen. Diese Regeln legen fest, welcher eingehende Datenverkehr zur einer Instanz durchgelassen wird. Jeder weitere eingehende Datenverkehr wird geblockt und verworfen.

Die Regeln einer Security Group können jederzeit geändert werden. Neue Regeln werden automatisch für bereits ausgeführte Instanzen und Instanzen die in Zukunft gestartet werden, angewendet.

Es können bis zu 100 Security Groups erstellt werden.

Gruppen – Mitgliedschaft

Nachdem eine AMI Instanz gestartet wurde, kann diese beliebig vielen Security Groups zugeordnet werden.

Wurde bisher keine Security Group definiert, wird die Instanz automatisch der “default” Group zugewiesen. Standardmäßig erlaubt diese Security Group den gesamten Datenverkehr aller Mitglieder dieser Gruppe und verwirft den Datenverkehr von anderen Gruppen und IP-Adressen. Die Regeln für die “default” Group können den eigenen Anforderungen entsprechend angepasst werden.

Gruppen – Zugriffsrechte

Die Zugriffsrechte werden auf Basis von Quellen definiert. Dabei können die Quellen entweder benammte Security Groups oder IP-Adressen sein. Für CIDR basierte Regeln können zusätzlich das Protokoll und ein Port Bereich definiert werden.

Quelle

By Rene Buest

Rene Buest is Gartner Analyst covering Infrastructure Services & Digital Operations. Prior to that he was Director of Technology Research at Arago, Senior Analyst and Cloud Practice Lead at Crisp Research, Principal Analyst at New Age Disruption and member of the worldwide Gigaom Research Analyst Network. Rene is considered as top cloud computing analyst in Germany and one of the worldwide top analysts in this area. In addition, he is one of the world’s top cloud computing influencers and belongs to the top 100 cloud computing experts on Twitter and Google+. Since the mid-90s he is focused on the strategic use of information technology in businesses and the IT impact on our society as well as disruptive technologies.

Rene Buest is the author of numerous professional technology articles. He regularly writes for well-known IT publications like Computerwoche, CIO Magazin, LANline as well as Silicon.de and is cited in German and international media – including New York Times, Forbes Magazin, Handelsblatt, Frankfurter Allgemeine Zeitung, Wirtschaftswoche, Computerwoche, CIO, Manager Magazin and Harvard Business Manager. Furthermore Rene Buest is speaker and participant of experts rounds. He is founder of CloudUser.de and writes about cloud computing, IT infrastructure, technologies, management and strategies. He holds a diploma in computer engineering from the Hochschule Bremen (Dipl.-Informatiker (FH)) as well as a M.Sc. in IT-Management and Information Systems from the FHDW Paderborn.

Leave a Reply