Quels sont les groupes de sécurité par défaut créés lorsque j'installe AWS EB pour la première fois?
Je suis perplexe devant le rôle joué par plusieurs groupes qui semblent avoir été ajoutés automatiquement à ma liste de groupes de sécurité AWS, connectés dans ce que je suppose être la configuration par défaut, et je me demande comment ils fonctionnent (et qu'en est-il changement). Plus précisément, il y en a trois qui sont mystérieux:
launch-wizard-1qui a une règle entrante SSH, TCP, 22, 0.0.0.0/0.defaultdécrit comme "groupe de sécurité VPC par défaut" qui a une règle entrante pour tout le trafic et tous les ports utilisant lui-même comme source.default_elb_...décrit comme "Groupe de sécurité créé par ELB utilisé quand aucun groupe de sécurité n'est spécifié lors de la création d'ELB - les modifications pourraient avoir un impact sur le trafic vers les futurs ELB" qui a une règle entrante autorisant HTTP à partir de toutes les adresses IP
Les deux premiers ne semblent pas être connectés à d'autres groupes de sécurité, tandis que le dernier est la source d'un pour une règle HTTP entrante dans chacun des groupes de sécurité pour mes environnements Elastic Beanstalk.
Que font ces trois groupes? Puis-je les changer? Ou changer les connexions avec eux?
Par exemple, cette dernière règle semble avoir pour effet d'autoriser le trafic HTTP de n'importe où vers tous mes environnements EB. Puis-je modifier cette règle pour limiter les adresses IP (à tous les environnements)? Puis-je "décrocher" la règle en tant que source d'un environnement EB donné (par exemple en la remplaçant en tant que source par une plage d'adresses IP)?
Il semble que vous ayez une idée de ce qu'est un groupe de sécurité: un pare-feu dynamique qui est appliqué aux instances EC2.
Lorsque vous lancez manuellement un EC2 VM à partir de la console Web, AWS vous offre la possibilité de réutiliser un groupe de sécurité existant ou d'en créer un nouveau. Lorsque vous en créez un nouveau, la règle par défaut est SSH (port 22) et un nom de groupe de sécurité par défaut " launch-wizard - # ".
Malheureusement, puisqu'un groupe de sécurité peut être utilisé par plusieurs instances EC2, ils ne sont pas nettoyés lorsque vous supprimez une machine virtuelle. Donc, si vous avez supprimé le VM avec lequel launch-wizard-1 a été créé, il ne supprime pas le groupe de sécurité.
Sur le "groupe de sécurité par défaut pour VPC". Lorsque vous créez votre VPC, un groupe de sécurité par défaut est créé avec lui. Lorsque les instances EC2 sont lancées dans un sous-réseau VPC, le groupe de sécurité par défaut leur est affecté si aucune autre n'est spécifiée. ( http://docs.aws.Amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#DefaultSecurityGroup ).
Alors, que signifie cette règle qui lui permet de se parler? Par défaut, tout le trafic entrant est refusé par un groupe de sécurité. Cette règle entrante de "parler à lui-même" indique que si deux machines virtuelles se voient toutes deux assigner cette règle, elles seront autorisées à communiquer entre elles sur tous les ports. Devriez-vous utiliser ce groupe par défaut? Non. Créez des groupes de sécurité uniques qui appliquent la règle du moindre privilège (ouvrez uniquement les ports dont vous avez besoin aux instances qui en ont besoin).
Malheureusement, je n'ai pas beaucoup d'expérience avec le haricot élastique, c'est donc là que ma réponse se tourne vers les hypothèses. Dans le peu que j'ai joué avec le haricot magique, je me souviens qu'il a créé des ressources auxiliaires dans votre compte. Cela semble être le cas avec votre Elastic Load Balancer (ELB). Comme l'indique la description, lorsque Elastic Beanstalk doit lancer un nouvel équilibreur de charge, l'équilibreur de charge utilise ce groupe par défaut, sauf si vous en spécifiez un autre. Je crois que ce lien documente comment vous le feriez ( http://docs.aws.Amazon.com/elasticbeanstalk/latest/dg/using-features.managing.elb.html ).
Dans tous les cas, je déconseille d'utiliser les groupes de sécurité par défaut en faveur de règles de pare-feu individuelles propres aux besoins de sécurité de cette instance.
Pouvez-vous les modifier ou les supprimer?
- launch-wizard-1 : Oui, vous pouvez supprimer ou modifier ce groupe. Puisque vous avez mentionné qu'il n'est pas utilisé, allez-y et faites-lui des armes nucléaires.
- par défaut : VPC est capricieux sur certaines des ressources par défaut qu'il crée. Je l'ai testé sur mon compte et je ne peux pas le supprimer. Vous pouvez bien sûr le modifier, mais je recommanderais plutôt de ne pas l'utiliser.
- default_elb : Si je me souviens bien, élastique beanstalk utilise cloudformation pour créer des ressources supplémentaires, comme un groupe de sécurité ELB. Vous pouvez modifier ce groupe de sécurité, mais cela créera des incohérences entre la définition de la cloudformation et la réalité. Pour votre question spécifique, vous pouvez modifier la plage d'adresses IP autorisées, mais si vous écrivez des règles sur une adresse IP privée, vous ne pourrez pas traverser des environnements si les environnements sont déployés sur des VPC distincts.