Группа безопасности Linking EC2 - Балансировщик нагрузки - RDS

Question

Хотя настройка групп безопасности является довольно простой практикой, у меня возникают трудности с применением правильного шаблона при сосредоточении внимания на безопасности приложений и управлении соединениями между моим экземпляром EC2, Load Balancer и RDS.

Я опасаюсь, что я знаю, что определенные приложения не должны иметь публичный доступ и должны быть доступны только приложениям, которые их используют, но не уверены в наилучшем способе достижения этой связи.

Должен ли балансировщик нагрузки быть источником конфигураций группы безопасности, а затем присоединенный экземпляр EC2 просто ссылается на настройку балансировщика нагрузки? Должен ли RDS связываться с группой безопасности EC2 или балансировщиком нагрузки? Любое руководство о том, что я должен думать о дизайне и моей текущей настройке, будет чрезвычайно полезным!

Балансировщик нагрузки:

Type | Protocol | Port Range | Source

HTTP | TCP | 80 | *Public*
SSH | TCP | 22 | *Private IP*
HTTPS | TCP | 443 | *Public*

Экземпляр EC2:

Type | Protocol | Port Range | Source

HTTP | TCP | 80 | *Load Balancer Security Group*
SSH | TCP | 22 | *Load Balancer Security Group*
HTTPS | TCP | 443 | *Load Balancer Security Group*

RDS:

Type | Protocol | Port Range | Source

All TCP | TCP | 0 - 65535 | *EC2 Instance Security Group*
PostgreSQL | TCP | 5432 | *Public*
PostgreSQL | TCP | 5432 | *Public (IPv6)*
SSH | TCP | 22 | *Private IP*

Answer 1

Вы можете удалить SSH и All из вашей группы безопасности RDS, так как они никогда не будут использоваться. Группа сек RDS должна указывать группу сек EC2, которая требует подключения. Это означает, что вы также должны удалить общедоступные ссылки.

Должен ли ELB быть доступным из Интернета? Если это так, вы можете пойти дальше, за исключением того, что вы должны удалить правило SSH из ELB, поскольку оно никогда не будет использоваться (вы не можете использовать ssh для ELB, а ELB не загружают балансные ssh-соединения).

Группа сек EC2 должна иметь правила, разрешающие доступ к ELB. Другими словами, правила, определяющие идентификатор группы ELB sec, должны быть добавлены для портов 80 и 443, что в основном то, что у вас есть.

Удалите (или измените) правило группы EC2 sec, разрешающее доступ по SSH из ELB, поскольку ELB не поддерживают ssh-соединения с балансировкой нагрузки. В идеале он должен быть заблокирован в вашем офисе управления (ваш офис).

Так что в основном что-то вроде следующего:

ELB

Type | Protocol | Port Range | Source

HTTP | TCP | 80 | *Public*
HTTPS | TCP | 443 | *Public*

EC2

Type | Protocol | Port Range | Source

HTTP | TCP | 80 | *Load Balancer Security Group*
HTTPS | TCP | 443 | *Load Balancer Security Group*
SSH | TCP | 22 | *Your office IP address (best practices)*

RDS

Type | Protocol | Port Range | Source

PostgreSQL | TCP | 5432 | *EC2 Instance Security Group*

Наконец, для ELB вы можете разорвать SSL-соединения на ELB, который затем перенаправит соединения на ваши бэкэнд-экземпляры EC2 через порт 80. Это позволяет вам управлять своими SSL-сертификатами в одном месте (ELB). Вы не должны делать это в ситуациях, которые требуют чрезвычайно строгого соответствия, так как это приведет к разрыву в шифровании между ELB -> EC2. Но вам действительно не нужно беспокоиться об этом, если вы не имеете дело с соблюдением PCI или HIPAA.

Тогда ваша секционная группа EC2 будет выглядеть примерно так:

EC2

Type | Protocol | Port Range | Source

HTTP | TCP | 80 | *Load Balancer Security Group*
SSH | TCP | 22 | *Your office IP address (best practices)*