Prezentowany materiał jest efektem współpracy z lekcjerysunku.com.pl
Grupa zabezpieczeń to zbiór reguł, które zezwalają lub ograniczają ruch sieciowy z określonych źródeł w obrębie sieci wirtualnej instancji. Są one ważne dla ochrony zasobów i mogą pomóc w uniknięciu typowych luk bezpieczeństwa.
Podłączenie grupy zabezpieczeń jest łatwe i proste. Warto jednak znać podstawowe pojęcia, zanim zacznie się dodawać i modyfikować reguły.
Możesz użyć grup zabezpieczeń do przypisania uprawnień i dostępu do zasobów lub do dystrybucji wiadomości e-mail do grupy użytkowników. Możesz także użyć grup dystrybucyjnych, aby przyspieszyć wysyłanie wiadomości.
Grupy zabezpieczeń Active Directory są kontenerami, które zawierają inne obiekty, takie jak użytkownicy, komputery i konta usług. Obiekty te są wyróżniane przez atrybut member, który wymienia wyróżnione nazwy innych obiektów, które do nich należą.
Jeśli Twoja organizacja ma dużą liczbę grup, ważne jest, aby przestrzegać konwencji nazewnictwa grup zabezpieczeń, aby każdy wiedział, do czego służy każda z nich i mógł łatwo znaleźć odpowiednią grupę w domenie lub lesie. Dobrym pomysłem jest również ograniczenie możliwości modyfikowania grup zabezpieczeń przez role IAM, ponieważ takie działanie może prowadzić do błędnej konfiguracji i naruszenia bezpieczeństwa.
Gdy użytkownik lub komputer jest członkiem grupy zabezpieczeń Active Directory, kontu członkowskiemu można przypisać prawa dostępu i uprawnienia do zasobów w tej domenie lub lesie. Uprawnienia te określają rodzaje działań, które użytkownik może wykonywać w organizacji i często są automatycznie przypisywane do grup domyślnych, takich jak grupy zabezpieczeń Account Operators i Domain Admins.
Grupy te są niezbędne do zarządzania bezpieczeństwem przedsiębiorstwa i powinny być starannie zarządzane. Upewnij się, że włączasz użytkowników i komputery do grup tylko tych, z którymi muszą pracować, a następnie usuwasz je po zakończeniu ich zadań.
Dodatkowo, rozważ poziom dostępu każdej grupy do zasobów w Twoim środowisku. Niektóre domyślne grupy zabezpieczeń mają szerokie uprawnienia, np. grupy zabezpieczeń Account Operators i Domain Administrators. Są one tworzone podczas konfigurowania domeny Active Directory i należy zachować szczególną ostrożność w zarządzaniu nimi.
Na przykład, grupa bezpieczeństwa Domain Admins ma wysoki priorytet, więc jeśli pozwolisz tej grupie na dostęp do wszystkich zasobów w twoim VPC, może to spowodować poważne problemy. Zamiast tego należy przypisać grupy zabezpieczeń o najmniejszym priorytecie do każdego zasobu w VPC, co ogranicza poziom dostępu, jaki może uzyskać każdy członek i jest bardziej bezpieczne dla organizacji.
Możesz podłączyć grupę zabezpieczeń do VPC używając narzędzia wiersza poleceń NSGS. Aby to zrobić, uruchom nsg-connect –security-group. Następnie określ VCN NSG i wybierz VNIC w tym samym VCN co NSG. Następnie możesz dodać lub usunąć reguły bezpieczeństwa, które definiują typy ruchu przychodzącego i wychodzącego, które są wymagane przez VNICs w NSG.
Jeśli używasz grupy zabezpieczeń sieciowych (NSG), aby uzyskać dostęp do innego VPC, odpowiednie reguły zabezpieczeń muszą być dodane do NSGS, zanim ruch będzie mógł przepływać między VPC. Można to zrobić, wybierając grupę zabezpieczeń w VPC, do której chcemy uzyskać dostęp, dodając regułę zezwalającą na ruch przychodzący i usuwając regułę zapobiegającą ruchowi wychodzącemu.
Podobne tematy