Eine Sicherheitsgruppe ist ein Satz von IP-Filterregeln, die auf eine Instanz angewendet werden können (Sie können eine Sicherheitsgruppe auch als einen Container für Sicherheitsgruppenregeln betrachten). Eine Sicherheitsgruppe fungiert als Firewall-Vorlage, die den Datenverkehr für eine oder mehrere Instanzen kontrolliert. Einmal auf eine Instanz angewendet (oder, genau genommen, auf einen Port einer Instanz, also eine Instanz-Verbindung zu einem Netzwerk - dargestellt als virtueller Netzwerkadapter der Instanz), wird sie zu einer aktiven Firewall auf diesen spezifischen Port.
Das Konzept der Sicherheitsgruppen ist verbunden mit dem, was man als Port-Sicherheit assoziiert. Port-Sicherheit ist eine Eigenschaft (oder ein Merkmal) an einem Netzwerk-Port, die, sobald sie aktiviert ist, die Filterung des Datenverkehrs vornimmt. Die Port-Sicherheit allein fungiert als "Alles blockieren" Regel. Sobald die Sicherheits- Gruppe(n) auf einen Port angewendet wird, fügen sie eine Reihe von Regeln hinzu, die bestimmte Typen des Datenverkehrs (Freigabe bestimmter Ports oder entfernter IPs) zulässt.
Beachten Sie, dass nicht jede Art von Datenverkehr, die von der Portsicherheit blockiert wird, durch Sicherheitsgruppen erlaubt werden kann. Zum Beispiel blockiert die Port-Sicherheit den Verkehr mit einer Ziel-IP oder der Mac-Adresse, die nicht zu einem spezifischen Port gehören. Dieser Netzwerkverkehr kann auch durch Sicherheitsgruppen nicht erlaubt werden. Deshalb ist z.B. auf einem Router-Port die Port-Sicherheit deaktiviert, da der Router Netzwerkverkehr zu entfernten Ziel-IP-Adressen weiterleitet und von diesen erhält.
Sicherheitsgruppen sind im wesentlichen ein Satz von Regeln, um bestimmte Arten des Datenverkehrs zuzulassen. Es gibt keine Regeln, um Verkehr auf eine Blacklist setzen (zu blockieren); die Port Sicherheit fungiert als globale Blacklist die allen Netzwerkverkehr blockiert, bevor eine Whitelist angewendet werden kann.
Daher ist es nicht notwendig, die Reihenfolge zu beachten, in der die Regeln eingetragen werden. Da nur Whitelisting unterstützt wird, wird jeglicher Verkehr, der nicht den Regeln entspricht, automatisch blockiert.
Beachten Sie, dass Sie auch mehrere Sicherheitsgruppen auf eine Instanz anwenden können (und alle Ports dieser Instanz). In diesem Fall werden alle Regeln aus allen Sicherheitsgruppen kombiniert. Als Beispiel hat eine Sicherheitsgruppe eine Regel, die den eingehenden TCP-Port 22 erlaubt, und die andere Gruppe hat keine solche Regel. Es werden nun beide Sicherheitsgruppen auf die Instanz angewendet. Als Ergebnis ist der eingehende TCP-Port-22-Netzwerkverkehr für diese Instanz erlaubt.
Bei der Verwaltung von Regeln in den Sicherheitsgruppen können Sie die folgenden Parameter verwenden, um verschiedenen Datenverkehr abzubilden:
Die Funktion Remote-Sicherheitsgruppe sollte ein wenig näher erläutert werden. Diese Funktion ermöglicht das Erstellen von Regeln, die auf bestimmte IPs angewendet werden, ohne im voraus zu wissen welches diese IPs sein werden. Ein Beispiel, wie diese Funktion funktionieren kann, ist die Standardsicherheitsgruppe die für jedes neue Projekt erstellt wird. Diese Sicherheitsgruppe hat eine Regel welche "eingehenden Netzwerkverkehr von jedem Protokoll, von jedem Port welcher Mitglied der selben Sicherheitsgruppe ist. Als Ergebnis können Sie eine Anzahl von "vertrauenswürdigen" Instanzen erstellen die über jedes Protokoll und jeden Port ohne Restriktionen kommunizieren können, indem Sie die Instanzen dieser Sicherheitsgruppe hinzufügen. Zur gleichen Zeit beschützt diese Sicherheitsgruppe jedoch die enthaltenen Instanzen von anderen Instanzen (welches sich nicht in dieser Sicherheitsgruppe befinden) oder von Zugriffen aus dem Internet.
Es gibt auch eine Sicherheitsgruppe, die standardmäßig erstellt wird und diese heißt default. Diese Gruppe erlaubt:
Um eine neue Sicherheitsgruppe zu erstellen, gehen Sie zu Netzwerke -> Sicherheitsgruppen in der Portalnavigation. Klicken Sie dann auf die Schaltfläche "Eine Sicherheitsgruppe erstellen". Geben sie danach einen aussagekräftigen Namen ein (am besten, der den Zweck der Gruppe beschreibt, z. B. "Webserver") und die Beschreibung. Klicken Sie dann auf "Erstelle".
Einer neu erstellten Sicherheitsgruppe werden standardmäßig zwei Regeln hinzugefügt - den ausgehenden (egress) Verkehr für jeden Port und jedes Protokoll, für IPv4 und IPv6. Standardmäßig wird kein eingehender Verkehr zugelassen. Falls erforderlich, können diese Regeln aber entfernt werden.
Um die Regeln der Sicherheitsgruppe zu ändern, klicken Sie oben auf die Kontextmenü-Schaltfläche auf die Gruppe und wählen Sie "Verwalten". Es wird eine Liste der Regeln angezeigt, sie können bestehende Regeln löschen oder neue hinzufügen. Beachten Sie, dass Sie keine bestehende Regel ändern können Sie müssen zuerst die alte Regel entfernen und danach eine neue hinzufügen.
Wenn Sie eine Regel zur Sicherheitsgruppe hinzufügen, können sie Vorlagen (oben im Verwaltungsmenü) verwenden. Diese Vorlagen stehen zur Verfügung, um die erforderlichen Felder so vorauszufüllen wie es für bestimmte Aufgaben und Protokolle erforderlich ist (zum Beispiel, um HTTP- oder HTTPS-Verkehr zuzulassen der typischerweise so konfiguriert ist, dass sie entsprechend auf den TCP-Ports 80 und 443 lauschen).
Beachten sie, dass wenn Sie eine bestehende Sicherheitsgruppe ändern, diese Änderungen für alle Instanzen gelten die diese Gruppe verwenden (die Änderungen kann von einigen Sekunden bis zu 30 Sekunden benötigen). Es ist nicht nötig, die Gruppe erneut auf die Instanz anzuwenden, um diese Änderungen wirksam zu machen. Die Liste der Instanzen, auf denen eine bestimmte Gruppe angewendet wird, kann zudem in der Verwaltung eingesehen werden. Dazu verwenden Sie die Registerkarte "Instanzen" oben auf demselben Bildschirm, der zum Ändern einer Sicherheitsgruppe verwendet wird.
Um die Liste der Sicherheitsgruppen zu verwalten, die auf eine Instanz angewendet werden, gehen Sie auf die Instanz-Verwaltungsseite und wählen Sie die entsprechende Instanz aus. Klicken Sie auf das Kontextmenü Schaltfläche (sie befindet sich in der Spalte "Aktionen", wenn die Gitteransicht verwendet wird) und wählen Sie "Verwalten". Scrollen Sie danach auf der Seite "Details" der Instanz nach unten, bis Sie den Abschnitt "Sicherheitsgruppen" sehen.
Sie können eine Sicherheitsgruppe aus der Instanz entfernen, indem Sie auf "Entfernen" im Kontextmenü dieser Sicherheitsgruppe klicken. Zum Hinzufügen einer Sicherheitsgruppe, klicken Sie auf die Schaltfläche "Verwalten" oben im Abschnitt "Sicherheitsgruppen" und wählen Sie die Sicherheitsgruppen über "Hinzufügen" aus, die Sie hinzufügen möchten.
Beachten sie, dass während die Port-Sicherheit aktiviert ist, alle Sicherheitsgruppen entfernt werden und jeglicher Verkehr (ingress/egress) vollständig blockiert wird (denken Sie daran, dass die Regeln in den Sicherheitsgruppen Whitelisting-Regeln benutzen. Wenn also keine Regeln auf der Whitelist stehen, ist auch kein Netzwerkverkehr erlaubt)