Как настроить правила безопасности в экземпляре Amazon EC2

Настройка входящих и исходящих правил в вашем Amazon очень важна по соображениям безопасности и для удовлетворения наших личных или деловых потребностей. Например, если вы планируете разместить веб-приложение на своем экземпляре Amazon EC2, вам необходимо включить входящую связь HTTPS, чтобы внешний мир мог связаться с размещенным веб-приложением.

Если вашему экземпляру Amazon EC2 необходимо получить доступ к серверам электронной почты, размещенным где-то в Интернете, вам потребуется включить исходящую связь IMAP, POP3 и SMTP.

Часть I: настройка входящих правил, включив HTTPS

В первой части мы покажем вам, как настроить входящие правила, включив протокол HTTPS. HTTPS (Hypertext Transfer Protocol Secure) используется для безопасной связи между веб-браузером и веб-сайтом (веб-сервером).

1. Войдите в консоль управления AWS
2. Нажмите на Запуск экземпляров
3. Выберите экземпляр
4. Нажмите на вкладку «Описание» и перейдите к группам безопасности в правой части окна, как показано на снимке экрана ниже.

Под группами безопасности вы можете найти три группы, в том числе:

• launch-wizard-3 – название группы безопасности. Он используется для настройки входящих и исходящих правил для экземпляра EC2. В нашем случае это имя launch-wizard-3.
• входящие правила – создайте входящие правила, используемые для определения входящего соединения с вашим экземпляром Amazon EC2. Нажав на вид, вы можете увидеть существующие правила входящих.
• исходящие правила – создайте исходящие правила, используемые для определения исходящей связи с вашим экземпляром Amazon EC2. Нажав на вид, вы можете увидеть существующие исходящие правила.

5. Нажмите на launch-wizard-3, чтобы настроить правила безопасности
6. В группе безопасности нажмите на группу безопасности, связанную с нашим экземпляром. В нашем случае это идентификатор группы безопасности с именем sg-002fe10b00db3a1e0.
7. Нажмите «Входящие правила» и затем нажмите «Изменить входящие правила».
8. В разделе Правила для входящих пользователей нажмите Добавить правило.
9. Настройте правило следующим образом:

• Тип – из списка выберите HTTPS. Вы можете выбрать общий протокол, такой как SSH (для экземпляра Linux), RDP (для экземпляра Windows) или другие. Вы также можете вручную ввести пользовательский порт или диапазон портов. Существует более 30 протоколов, которые можно настроить. Если вы хотите включить DNS, IMAP, SMTP или другие протоколы, вы можете сделать это, выполнив ту же процедуру, что и при настройке протокола HTTPS.

• Протокол – по умолчанию будет использоваться протокол TCP. Тип протокола, например, TCP или UDP. Это обеспечивает дополнительный выбор для ICMP.
• Диапазон портов – после выбора HTTPS в качестве типа правила он автоматически назначит 443 в качестве порта по умолчанию. Для пользовательских правил и протоколов вы можете вручную ввести номер порта или диапазон портов.
• Источник – укажите один IP-адрес или диапазон IP-адресов в нотации CIDR (например, 203.0.113.5/32), который должен достигать нашего экземпляра EC2. В нашем случае мы выберем Anywhere. Это автоматически добавит IPv4 и IPv6 диапазон 0.0.0 / 0 и :: / 0, что означает, что любой хост с любым идентификатором сети может достичь нашего экземпляра EC2. При подключении через брандмауэр вам потребуется диапазон IP-адресов, используемый клиентскими компьютерами. Вы можете указать имя или идентификатор другой группы безопасности в том же регионе. Чтобы указать группу безопасности в другой учетной записи AWS (только для EC2-Classic), добавьте в качестве префикса идентификатор учетной записи и косую черту, например 111122223333 / OtherSecurityGroup.
• Описание – необязательно – описание правила группы безопасности.

10. Нажмите на Сохранить правила. Вы успешно создали входящее правило. Вы можете успешно обратиться к своему веб-приложению, размещенному на экземпляре Amazon EC2.

Часть II. Настройка исходящего трафика путем включения IMAP, POP3 и SMTP:

Во второй части мы покажем вам, как настроить исходящее правило, включив протоколы IMAP, POP3 и SMTP. IMAP (протокол доступа к сообщениям в Интернете) и POP3 (протокол почтового отделения 3) – это протоколы для получения электронной почты, а SMTP (простой протокол передачи почты) – это протокол для отправки электронной почты.

1. Откройте вашу группу безопасности
2. Нажмите на Исходящие правила. Как вы можете видеть на скриншоте ниже, для экземпляра Amazon EC2 создается одно исходящее правило. Правило называется «Весь трафик» и используется для разрешения любых исходящих сообщений из экземпляра Amazon EC2 во внешний мир.
3. Нажмите «Изменить исходящие правила» и удалите все правила трафика, нажав «Удалить».
4. Нажмите на Добавить правило, чтобы создать новое правило.
5. Настройте правило следующим образом:

• Тип – из списка выберите IMAPS.
• Протокол – по умолчанию будет использоваться протокол TCP. Тип протокола, например, TCP или UDP. Это обеспечивает дополнительный выбор для ICMP.
• Диапазон портов – как только вы выберете IMAPS в качестве типа правила, он автоматически назначит порт 993 по умолчанию.
• Источник – укажите один IP-адрес или диапазон IP-адресов в нотации CIDR (например, 203.0.113.5/32), который должен достигать нашего экземпляра EC2. В нашем случае мы разрешим доступ только к определенному общедоступному IP-адресу.
• Описание – необязательно – описание правила группы безопасности. Нажмите Добавить правило и создайте правило для POP3S и SMTPS.

7. Нажмите Сохранить правила. Вы успешно создали три исходящих правила.

8. Войдите в экземпляр Amazon EC2 и убедитесь, что правила применяются успешно.