AWS: Recomanacions de seguretat per a Security Groups

Què entenem per Security Groups?

Un security group funciona com un tallafoc virtual que controla l'entrada i sortida de trànsit de les instàncies d'EC2. Totes les instàncies han de tenir associat un grup de seguretat. En el cas que no estigui especificat al moment de crear la instància, llavors s'utilitza per defecte el grup de seguretat predeterminat de la VPC. Un grup de seguretat predeterminat es denomina default, i AWS li assigna un ID.

Com crear un grup de Seguretat amb la consola AWS?

• Obriu la consola d'Amazon VPC a https://console.aws.amazon.com/vpc/.
• Al panell de navegació, trieu Security Groups (Grups de seguretat).
• Trieu Create Security Group (Crear grup de seguretat).
• Escriviu un nom per al grup de seguretat (per exemple, my-security-group) i proporcioneu una descripció.
• A VPC, seleccioneu l'ID de la vostra VPC.
• (Opcional) Afegiu o elimineu una etiqueta.
• [Afegir una etiqueta] Trieu Afegir etiqueta i feu el següent:

1. A Key (Clau), escriviu el nom de la clau.
2. A Value (Valor), escriviu el valor de la clau.

• [Eliminar una etiqueta] Trieu Eliminar a la dreta de la clau i el valor de l'etiqueta.
• Seleccioneu Create (Crear).

Recomanacions de seguretat per a security groups d'AWS

1. Activar el servei VPC Flow Logs a la teva VPC o a qualsevol nivell d'ENI (Elastic Network Interfaces). VPC Flow logs es pot configurar per acceptar i rebutjar totes les entrades que es produeixen a través dels grups de seguretat als diferents serveis com poden ser EC2, ELB o RDS. Les entrades que es registren a VPC Flow Logs ens serviran per detectar atacs i activitats anormals.
2. S'ha d'utilitzar AWS IAM (Identity and Access Management) per controlar els usuaris de la teva companyia que poden crear/modificar grups de seguretat. Per tant, que únicament tinguin permisos els treballadors que sigui estrictament necessari.
3. Activar els logs d'AWS CloudTrail per registrar tots els esdeveniments dels grups de seguretat. Per a alguns registres pots crear un correu automàtic que t'informarà al moment de l'esdeveniment i així revisar-lo immediatament.
4. Crear una nomenclatura descriptiva per als grups de seguretat. D'aquesta manera, amb el nom obtens informació del grup corresponent. Pensa que amb el temps t'evitaràs el desordre. El convenient és crear una nomenclatura abreujant amb 1 o 2 caràcters les característiques del grup que poden ser. El tipus de sistema operatiu, tipus d'entorn, la regió d'AWS, el tipus d'aplicació. Tingues en compte que el nom de grup no ha de ser tan explícit a primera vista. Per exemple, si li poses el nom WinWebProdCRM indiques als hackers per a què fas servir aquest grup de seguretat. Una solució serà 0-Win 1-Linux, A-Producció, B-Desenvolupament, C-Testeig.
5. En aplicar la nomenclatura per als grups de seguretat, es recomana eliminar els grups que no la compleixin.
6. Quan es crea una VPC, es crea automàticament un grup de seguretat per defecte. Si en crear una instància, no li assignes un grup de seguretat creat per tu, AWS l'assigna per defecte. Això no és una bona pràctica. El recomanable és aplicar un grup de seguretat concret cada vegada que es creï una instància.
7. Vigilar a l'associar diversos grups de seguretat a una instància, ja que es crea un conjunt de regles. AWS utilitzarà aquest conjunt de regles per determinar si es permet l'accés o no i sempre prevaldrà la més permissiva. Per tant, si una instància EC2 té associats dos grups de seguretat, en un grup hi ha una regla que permet l'accés pel port 22 des de la màquina 52.63.1.100 i un altre grup amb una regla que permet l'accés pel port 22 per a tothom, AWS aplica la més permissiva i podran accedir des de qualsevol adreça pel port 22.
8. Una recomanació consisteix a no crear un grup de seguretat que tingui molts ports oberts a tot el món. Per exemple, si és un servidor web, únicament obrirem els ports HTTP i HTTPS per al trànsit entrant: 0.0.0.0/0,TCP, 80 0.0.0.0/0,TCP, 443
9. No llançar servidors amb ports predeterminats oberts com poden ser els 3306, 1630, 1433. Això et crea una petita capa de defensa per al grup de seguretat perquè els hackers no sabrien a quins ports atacar.
10. En algunes ocasions, sigui per una intervenció externa o per qualsevol tipus de proves, s'hauran de crear momentàniament regles massa permissives, el correcte seria automatitzar aquesta operació de tal manera que el grup de seguretat s'esborri automàticament passats X minuts.
11. Intentar evitar obrir el port SSH per a altres instàncies de l'entorn de producció. Si és possible, únicament obrir el port SSH per a hosts de la mateixa VPC.
12. Després de mencionar l'11, queda clar que s'ha de evitar obrir el port SSH per a tothom. És molt habitual aplicar aquesta regla a les instàncies per si hi ha qualsevol incidència i és necessari accedir-hi en remot. És ràpid i senzill crear una regla de seguretat per donar accés a una IP pel port SSH en el cas que sigui necessari l'accés remot en un moment determinat.
13. Evitar obrir ports per als protocols UDP o ICMP en instàncies privades.
14. Evitar també obrir rangs de ports. Pots afegir un gran nombre de línies de regles en els grups de seguretat per no haver d'obrir directament rangs.
15. Les instàncies que estan a la xarxa privada s'hauran d'obrir per als rangs ip de la teva VPC, no té sentit obrir per a tothom (0.0.0.0/0) si només s'hi podrà accedir des de la teva VPC.
16. Aplicar també regles de seguretat de sortida sempre que sigui aplicable dins de la teva VPC. Per exemple, aplicar una regla per restringir una connexió FTP des de qualsevol servidor d'internet a la teva VPC.
17. Per a certes instàncies aplicar també grups de seguretat en l'ELB usant-lo d'aquesta manera de proxy. Així dobles la seguretat, encara que augmenta la latència.
18. Amazon Web Services disposa d'un document molt recomanable on reuneix un conjunt de bones pràctiques per mantenir segura la teva infraestructura a AWS.