Mit Amazon EC2 können Instanzen dynamisch hinzugefügt und entfernt werden. Diese Flexibilität kann die Konfiguration und Wartung der Firewall zunehmends erschweren, da Firewall-Regeln traditionell auf Basis von IP-Adressen, Subnetzbereiche oder DNS Hostnamen basieren.
Mit der Amazon EC2 Firewall werden Instanzen benutzerdefinierten Gruppen zugewiesen und für diese Gruppen dann Firewall Regeln definiert. Wird anschließend eine Instanz einer Gruppe hinzugefügt oder wieder entfernt, werden die entsprechenden Regeln der Gruppe für diese Instanz angewendet. Änderungen an den Regeln einer Gruppe werden automatisch für alle Mitglieder der Gruppe angewendet.
Security Groups
Eine Security Group definiert Firewall Regeln für die Instanzen. Diese Regeln legen fest, welcher eingehende Datenverkehr zur einer Instanz durchgelassen wird. Jeder weitere eingehende Datenverkehr wird geblockt und verworfen.
Die Regeln einer Security Group können jederzeit geändert werden. Neue Regeln werden automatisch für bereits ausgeführte Instanzen und Instanzen die in Zukunft gestartet werden, angewendet.
Es können bis zu 100 Security Groups erstellt werden.
Gruppen – Mitgliedschaft
Nachdem eine AMI Instanz gestartet wurde, kann diese beliebig vielen Security Groups zugeordnet werden.
Wurde bisher keine Security Group definiert, wird die Instanz automatisch der “default” Group zugewiesen. Standardmäßig erlaubt diese Security Group den gesamten Datenverkehr aller Mitglieder dieser Gruppe und verwirft den Datenverkehr von anderen Gruppen und IP-Adressen. Die Regeln für die “default” Group können den eigenen Anforderungen entsprechend angepasst werden.
Gruppen – Zugriffsrechte
Die Zugriffsrechte werden auf Basis von Quellen definiert. Dabei können die Quellen entweder benammte Security Groups oder IP-Adressen sein. Für CIDR basierte Regeln können zusätzlich das Protokoll und ein Port Bereich definiert werden.