Salta el contingut

AWS - Pràctica (iii)

Ja estem dins la Consola principal. Anem a

Explorem VPC

  • Ves a la barra d'eines i escriu la paraula VPC i ves on ens suggereix.

    • A quina Consola ens porta?
    Possible Solució

    VPC - Virtual Private Cloud

    • A quantes Regions estem?
    Possible Solució

    Una, EEUU Est

    • Quantes subxarxes tenim creades?
    Possible Solució

    Sis

VPC - Virtual Private Cloud

VPC - Virtual Private Cloud és el servei de AWS que permet la gestió de xarxes virtuals on ubicarem els sistemes i serveis.

Amb AWS Identity and Access Management (IAM), podem especificar qui o què pot accedir als serveis i recursos a AWS, administrar de forma centralitzada els permisos específics i analitzar l'accés per perfeccionar els permisos a tot AWS.

pt007

Les VPC es poden comunicar entre si a través de comptes, zones de disponibilitat i regions d'AWS. Aquest diagrama mostra una possible configuració on, dins de la Regió 1, el trànsit de xarxa es comparteix entre una VPC a la zona de disponibilitat 1 i una VPC a la zona de disponibilitat 2. La mateixa arquitectura es mostra per a la Regió 2. Les VPC de les regions 1 i 2 no es poden connectar entre si en aquest exemple.

Els principals components de les VPC són:

  • IP addressing: Assignació d’adreces IP’s als equips (públiques i privades)

  • Subnets: Subxarxes a cada availability zone (AZ)

  • Security groups: Regles d’accés de ports als equips

  • Network access control lists (ACL’s): Configuració d’ACL’s per a controlar el trànsit entre diferents subxarxes

  • Routing: Enrutament de trànsit entre subxarxes i l’exterior

Per defecte, ja es crea una VPC on s’ubiquen els serveis

Nosaltres treballarem amb aquesta VPC creada per defecte.

Si anem a subnets veurem que en tenim 6, a la zona us-east-1. Podem aprofitar per posar-los nom i així quan creem un servei, li assignarem una subxarxa. Abans, les ordenarem per CIDR IPv4 i així les tindrem ordenades de la a a la f.

pt008

Canvia el nom de la VPC per defecte

Posa nom a la VPC per defecte amb un nom semblant a abc-vpc-default.

Possible Solució

pt012

Internet Gateway (IGW) vs NAT Gateway (NGW)

pt009

  • IGW

    • Permet que les màquines tinguin visibilitat a internet en les dues direccions (IN/OUT)

    • Només un per VPC.

    • Ja ve creat per defecte. Sense costos.

  • NGW

    • Fa la funcionalitat de NAT

    • Només per comunicacions que s’inicien des dels equips interns.

    • No ve creat per defecte. Té un cost associat.

No ho configurarem

ACLs

Per defecte, es crea una ACL que permet tot el tràfic d’entrada i sortida de cada subxarxa.

Es poden crear ACL’s específiques. Quan se’n crea una de nova, per defecte denega tot el tràfic, fins que es van afegint regles que el permeten.

Només pot haver-hi una ACL associada a cada subxarxa.

Cada ACL té un conjunt de regles numerades. S’avaluen en ordre numèric començant pels valors més baixos.

Cada ACL té separades regles d’entrada i de sortida. Per cadascuna cal especificar si s’habilita o es denega el tràfic.

Les ACL’s no tenen estat (stateless), per tant cal que hi hagi una regla d’entrada i de sortida pel tràfic permès.

  • Ves a la ACL, Network ACLs i mira si en tens alguna i les regles associades.

    • Quantes ACL's tens?
    Possible Solució

    Una.

    • A quina/es subxarxa/es està associada?
    Possible Solució

    A totes sis.

    • Quines regles hi ha el trànsit d'entrada? i al de sortida?
    Possible Solució
    Rule number Type Protocol Port range Destination Allow/Deny
    100 All traffic All All 0.0.0.0/0 Allow
    * All traffic All All 0.0.0.0/0 Deny
    • Permetrà el trànsit d'entrada i de sortida?
    Possible Solució

    Sí, ja que s'aplica la primera regla, per ordre, que compleix i la primera ja engloba tot el trànsit possible i la regla diu Allow.

Canvia el nom de la ACL per defecte

Posa nom a la ACL per defecte amb un nom semblant a abc-acl-default.

Possible Solució

pt017

Posa nom a les 6 subnets

Posa nom a les 6 subxarxes de manera que tinguin noms semblants a abc-subnet-1a, abc-subnet-1b, ..., abc-subnet-1f.

Possible Solució

pt010

Crea una ACL

Crea una ACL amb un nom semblant a abc-acl-allowSSH que només permeti l'entrada del servei SSH (port 22) per TCP.

Assigna-la a la subxarxa d (per exemple a abc-subnet-1d)

Haurà de desaparèixer de la ACL que teniem per defecte, ja que, una subxarxa només pot tenir una ACL

Possible Solució

pt011

Security Group (SG) vs ACL’s

SG ACL
Firewall de servidors Firewall de subxarxes
Stateful (no cal definir regla de sortida) Statless (cal definir regla entrada i sortida)
Només permet allow (si no existeix la regla és un deny) Permet allow i deny (per exemple un deny per a certa IP)
S’apliquen totes les regles S’apliquen per ordre numèric de regla, començant per la més baixa
Un servidor pot tenir varis SG Una subxarxa només pot tenir una ACL

SG: Regles d'accés

Per defecte es crea un SG. Aquest no té regles associades.

A partir d’aquí es on es configuren regles d’entrada per diferents serveis o funcionalitats.

Per exemple:

  • per accedir via SSH, cal obrir el port 22,

  • per accedir a un servidor Windows via RDP cal obrir el port 3389.

  • per accedir a una base de dades MariaDB o Mysql, des de l'exterior, cal obrir el port 3306,

  • per accedir a un servidor HTTP cal obrir el port 80,

  • per accedir a un servidor HTTPS cal obrir el port 443.

Crea un Security Group

Crea un grup de Seguretat anomenat, xxx-sg-webSSH que tingui accés obert per SSH (22) i per web (port 80 i 443)

Compte amb els accents i altres caràcters que no estan permesos

Possible Solució

pt013

Explorem IAM : Identity Access Management

És el servei encarregat de controlar els accessos de forma granular als diferents recursos i serveis de AWS.

Amb AWS Identity and Access Management (IAM), podem especificar qui o què pot accedir als serveis i recursos a AWS, administrar de forma centralitzada els permisos específics i analitzar l'accés per perfeccionar els permisos a tot AWS.

pt006

Els accessos es defineixen per polítiques que contenen:

  • Actions: Quin servei d’AWS se n’habilita

  • Resources: Quins recursos del servei se n’habilita l’accés (per exemple un bucket de S3).

  • Effect: Permetre o denegar l’accés. Per defecte, l’accés està

  • Conditions: Condicions addicionals a tenir en compte perquè la política sigui efectiva.

En el nostre laboratori...

Al utilitzar l’entorn Amazon Academy, les funcions que es poden fer amb el IAM són molt limitades:

  • No es poden crear usuaris o grups.

  • Tampoc es poden crear nous rols.

  • Per defecte, ja es crea al LabRole que és el rol que ja està preparat per a utilitzar tots els serveis de AWS que ofereix Academy, amb les limitacions que es detallen a la documentació.

  • És molt important sempre configurar correctament el LabRole en els diferents serveis que es configurin, ja que sinó apareixeran errors de permisos.