Utilizzo dei gruppi di sicurezza - AWS OpsWorks
Gruppi di sicurezza

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo dei gruppi di sicurezza

Importante

AWS OpsWorks Stacksnon accetta più nuovi clienti. I clienti esistenti potranno utilizzare la OpsWorks console, l'API, l'interfaccia a riga di comando e CloudFormation le risorse normalmente fino al 26 maggio 2024, momento in cui non saranno più disponibili. Per prepararti a questa transizione, ti consigliamo di trasferire i tuoi stack AWS Systems Manager il prima possibile. Per ulteriori informazioni, consultare AWS OpsWorks StacksDomande frequenti sulla fine del ciclo di vita e Migrazione AWS OpsWorks Stacks delle applicazioni su AWS Systems Manager Application Manager.

Gruppi di sicurezza

Importante

AWS OpsWorks Stacksnon accetta più nuovi clienti. I clienti esistenti potranno utilizzare la OpsWorks console, l'API, l'interfaccia a riga di comando e CloudFormation le risorse normalmente fino al 26 maggio 2024, momento in cui non saranno più disponibili. Per prepararti a questa transizione, ti consigliamo di trasferire i tuoi stack AWS Systems Manager il prima possibile. Per ulteriori informazioni, consultare AWS OpsWorks StacksDomande frequenti sulla fine del ciclo di vita e Migrazione AWS OpsWorks Stacks delle applicazioni su AWS Systems Manager Application Manager.

Ogni istanza Amazon EC2 ha uno o più gruppi di sicurezza associati che regolano il traffico di rete dell'istanza, in modo molto simile a un firewall. Un gruppo di sicurezza dispone di una o più regole, ciascuna delle quali specifica una determinata categoria di traffico consentito. Una regola specifica le seguenti informazioni:

  • Tipo di traffico consentito, ad esempio SSH o HTTP

  • Protocollo del traffico, ad esempio TCP o UDP

  • Intervallo di indirizzi IP da cui ha origine il traffico

  • Intervallo di porte consentite per il traffico

I gruppi di sicurezza dispongono di due tipi di regole:

  • Le regole in entrata regolamentano il traffico di rete in entrata.

    Ad esempio, le istanze del server di applicazioni in genere ha un regola in entrata che consente il traffico HTTP in entrata da qualsiasi indirizzo IP alla porta 80 e un'altra regola in entrata che consente il traffico SSH in entrata sulla porta 22 dal set specificato di indirizzi IP.

  • Le regole in uscita regolamentano il traffico di rete in uscita.

    In genere è consigliabile utilizzare l'impostazione predefinita, che consente qualsiasi traffico in uscita.

Per ulteriori informazioni sui gruppi di sicurezza, consulta Gruppi di sicurezza di Amazon EC2.

La prima volta che crei uno stack in una regione, AWS OpsWorks Stacks crea un gruppo di sicurezza predefinito per ogni livello con il set di regole appropriato. Tutti i gruppi hanno regole in uscita predefinite, che consentono tutto il traffico in uscita. In generale, le regole in entrata consentono quanto segue:

  • Traffico TCP, UDP e ICMP in entrata dai livelli AWS OpsWorks Stacks appropriati

  • Traffico TCP in entrata sulla porta 22 (accesso SSH)

    avvertimento

    La configurazione predefinita del gruppo di sicurezza apre la porta SSH (22) per qualsiasi posizione di rete (0.0.0.0/0). Ciò consente a tutti gli indirizzi IP di accedere all'istanza tramite SSH. Per gli ambienti di produzione, devi utilizzare una configurazione che consenta solo l'accesso SSH da un indirizzo IP o da un intervallo indirizzi specificato. Aggiornare i gruppi di sicurezza predefiniti subito dopo la creazione oppure utilizzare invece gruppi di sicurezza personalizzati.

  • Per i livelli del server Web, tutto il traffico TCP e UDP in entrata verso le porte 80 (HTTP) e 443 (HTTPS)

Nota

Il gruppo di sicurezza predefinito AWS-OpsWorks-RDP-Server viene assegnato a tutte le istanze Windows per consentire l'accesso RDP. Tuttavia, per impostazione predefinita, tale gruppo non ha regole. Se esegui uno stack Windows e vuoi utilizzare RDP per accedere alle istanze, devi aggiungere una regola in entrata che consenta l'accesso RDP. Per ulteriori informazioni, consulta Accesso con RDP.

Per visualizzare i dettagli di ciascun gruppo, vai alla console Amazon EC2, seleziona Gruppi di sicurezza nel riquadro di navigazione e seleziona il gruppo di sicurezza del livello appropriato. Ad esempio, AWS- OpsWorks -Default-Server è il gruppo di sicurezza integrato predefinito per tutti gli stack e AWS OpsWorks - WebApp è il gruppo di sicurezza integrato predefinito per lo stack di esempio Chef 12.

Nota

Se per errore elimini un gruppo di sicurezza AWS OpsWorks Stacks, il modo consigliato per ricrearlo è impostare AWS OpsWorks Stacks in modo che esegua automaticamente l'attività. Basta creare un nuovo stack nella stessa regione AWS e VPC, se presente, e AWS OpsWorks Stacks ricreerà automaticamente tutti i gruppi di sicurezza integrati, incluso quello che hai eliminato. È quindi possibile eliminare lo stack se non è più necessario. I gruppi di sicurezza verranno conservati. Per ricreare il gruppo di sicurezza manualmente, dovrai realizzare un duplicato esatto dell'originale, rispettando anche l'uso di maiuscole e minuscole per il nome del gruppo.

Inoltre, AWS OpsWorks Stacks tenterà di ricreare tutti i gruppi di sicurezza integrati se si verifica una delle condizioni seguenti:

  • Apporti modifiche alla pagina delle impostazioni dello stack nella console AWS OpsWorks Stacks.

  • Avvii una delle istanze dello stack.

  • Crei un nuovo stack.

Puoi utilizzare uno dei seguenti approcci per specificare i gruppi di sicurezza. L'impostazione Usa gruppi OpsWorks di sicurezza viene utilizzata per specificare le tue preferenze quando crei uno stack.

  • (impostazione predefinita): AWS OpsWorks Stacks associa automaticamente il gruppo di sicurezza integrato appropriato a ogni livello.

    Puoi migliorare il gruppo di sicurezza integrato di un livello aggiungendo un gruppo di sicurezza personalizzato con le impostazioni desiderate. Tuttavia, quando Amazon EC2 valuta più gruppi di sicurezza, utilizza le regole meno restrittive, quindi non è possibile utilizzare questo approccio per specificare regole più restrittive rispetto al gruppo integrato.

  • No: AWS OpsWorks Stacks non associa i gruppi di sicurezza integrati ai livelli.

    Devi creare gruppi di sicurezza appropriati e associarne almeno uno a ciascun livello creato. Utilizza questo approccio per specificare regole più restrittive rispetto a quelle dei gruppi integrati. È da notare che puoi ancora associare manualmente un gruppo di sicurezza integrato a un livello, se preferisci. I gruppi di sicurezza personalizzati sono necessari solo per quei livelli che necessitano di impostazioni personalizzate.

Importante

Se utilizzi i gruppi di sicurezza integrati, non puoi creare regole più restrittive modificando manualmente le impostazioni del gruppo. Ogni volta che crei uno stack, AWS OpsWorks Stacks sovrascrive le configurazioni dei gruppi di sicurezza integrati. In questo modo, le modifiche che apporti andranno perse al momento della creazione dello stack successivo. Se un layer richiede impostazioni del gruppo di sicurezza più restrittive rispetto al gruppo di sicurezza integrato, imposta Usa gruppi di OpsWorks sicurezza su No, crea gruppi di sicurezza personalizzati con le tue impostazioni preferite e assegnali ai layer al momento della creazione.