HowtoForge

Wie man eine Sicherheitsgruppe (SG) und eine Netzwerkzugriffskontrollliste (NACL) in AWS erstellt

von ·

Sicherheitsgruppen (SGs) und Netzwerkzugangskontrolllisten (NACLs) sind die Funktionen, die mit der Virtual Private Cloud (VPC) in Amazon Web Services (AWS) einhergehen.

SG fungieren als Firewall für unsere Instanz, um den ein- und ausgehenden Datenverkehr zu kontrollieren oder einzuschränken. Wenn wir eine Instanz in einer VPC starten, können wir der Instanz bis zu fünf Sicherheitsgruppen zuweisen. Sicherheitsgruppen wirken auf Instanzebene und nicht auf Subnetzebene. Wenn wir beim Start keine bestimmte Gruppe angeben, wird die Instanz automatisch der Standardsicherheitsgruppe der VPC zugewiesen.

Wir können in der SG Regeln hinzufügen, die den eingehenden Verkehr zu den Instanzen kontrollieren, und einen separaten Satz von Regeln, die den ausgehenden Verkehr kontrollieren.

Eine NACL ist eine optionale Sicherheitsebene für den VPC, die als Firewall fungiert und den Verkehr in und aus einem oder mehreren Subnetzen kontrolliert. Wir können NACLs mit ähnlichen Regeln wie SGs einrichten, um eine zusätzliche Sicherheitsebene für das Subnetz zu schaffen.

Bevor wir mit der Erstellung von SGs und NACLs fortfahren, wollen wir uns den Unterschied zwischen beiden ansehen.

  1. SG arbeitet auf der Instanzebene, während NACL auf der Subnetzebene arbeitet.
  2. SG unterstützt nur Zulassen-Regeln und NACL unterstützt Zulassen- und Verweigern-Regeln.
  3. SG wertet alle Regeln aus, bevor es entscheidet, ob der Verkehr zugelassen wird, während bei NACL die Regeln in der Reihenfolge der Nummern verarbeitet werden, wenn es darum geht, ob der Verkehr zugelassen wird.
  4. SG wird nur dann auf eine Instanz angewendet, wenn jemand die Sicherheitsgruppe angibt, während NACL automatisch auf alle Instanzen in den Subnetzen angewendet wird, mit denen es verbunden ist.

In diesem Artikel werden wir uns die Schritte zur Erstellung einer SG und NACL ansehen.

Vorraussetzungen

  1. AWS-Konto (Erstelle wenn du noch keines hast).

Was werden wir tun?

  1. Melde dich bei AWS an.
  2. Erstelle eine Sicherheitsgruppe
  3. Erstelle eine Netzwerkzugangskontrollliste.

Bei AWS anmelden

  1. Klicke auf hier um zur AWS-Anmeldeseite zu gelangen.

Wenn wir den obigen Link anklicken, sehen wir die folgende Webseite, auf der wir uns mit unseren Anmeldedaten anmelden müssen.

AWS-Anmeldung

Sobald wir uns erfolgreich bei AWS angemeldet haben, sehen wir die Hauptkonsole, in der alle Services wie folgt aufgelistet sind.

AWS Management-Konsole

Eine Sicherheitsgruppe erstellen

Um eine SG zu erstellen, klicke in der oberen Menüleiste auf „Service“, suche nach „VPC“ und klicke auf das Ergebnis.

Sicherheitsgruppe erstellen

Auf dem VPC-Dashboard klickst du im linken Bereich auf „Sicherheitsgruppe“, um deine erste Sicherheitsgruppe zu erstellen.

Ressourcen nach Region

Klicke auf „Sicherheitsgruppe erstellen“, um sie zu erstellen.

Sicherheitsgruppe erfolgreich erstellt

Gib der zu erstellenden Sicherheitsgruppe einen Namen und eine Beschreibung, die dir hilft, den Zweck der Gruppe zu verstehen.

Gruppenname und Beschreibung

Sobald die Sicherheitsgruppe erstellt ist, siehst du den folgenden Bildschirm. Klicke auf den Link Sicherheitsgruppen-ID, um zur SG zu gelangen und Regeln für eingehende und ausgehende Verbindungen hinzuzufügen.

Gruppe wurde gegründet

Hier klickst du auf „Eingehende Regeln“ im unteren Menü neben der Beschreibung und dann auf „Regeln bearbeiten“, um Regeln in dieser SG hinzuzufügen.

Inbound-Regeln

Du kannst den Typ der hinzuzufügenden Regel sowie den Port/Portbereich auswählen. Unter „Quelle“ kannst du entweder „Meine IP“, „Benutzerdefiniert“ oder „Überall“ auswählen, um die zugelassene Quelle zu bestimmen. Füge eine Beschreibung hinzu, die dir hilft, den Zweck der hinzugefügten Regel zu verstehen. Wenn du mit dem Hinzufügen der gewünschten Regel fertig bist, klicke auf „Regeln speichern“.

Eingehende Regeln bearbeiten

So wie wir eingehende Regeln hinzugefügt haben, können auch ausgehende Regeln hinzugefügt werden.

Outbound-Regeln

Eine Netzwerkzugriffskontrollliste erstellen

Um eine NACL zu erstellen, klicke im linken Bereich auf „Netzwerk-ACLs“.

Netzwerk-Zugangskontrollliste

Gib der NACL einen Namen, wähle den VPC aus, auf den diese NACL angewendet werden soll, und klicke auf Erstellen.

Netzwerk ACL erstellen

Wähle die soeben erstellte NACL aus und klicke im unteren Menü auf „Eingehende Regeln“.

NACL-Eingangsregeln

Füge eine Regelnummer hinzu, die die Priorität gegenüber anderen Regeln bestimmt. Die niedrigste Nummer hat die höchste Priorität. Hier hat die erste Regel die Priorität 1 für Port 22 als Ablehnung. Das bedeutet, dass selbst wenn die zweite Regel für alle (0.0.0.0/0) eine niedrigere Priorität hat, diese zweite Regel keine Auswirkung auf die Quelle der ersten Regel hat und die Quelle der ersten Regel weiterhin verweigert. Sei sehr vorsichtig, wenn du Regeln und Regelnummern hinzufügst. Wenn du alle erforderlichen Regeln hinzugefügt hast, klicke auf „Erstellen“.

Eingehende Regeln bearbeiten

Du kannst die gleichen Schritte ausführen, um ausgehende Regeln hinzuzufügen.

Netzwerk ACL erstellen

Fazit

In diesem Artikel haben wir gesehen, wie man eine SG und eine NACL erstellt. Das Erstellen einer SG oder NACL ist sehr einfach, aber sei sehr vorsichtig, wenn du die Regeln hinzufügst, vor allem bei der NACL.

Das könnte dich auch interessieren …