В среде AWS (Amazon Web Services) группы безопасности играют решающую роль в контроле входящего и исходящего трафика к вашим ресурсам. По умолчанию группы безопасности разрешают входящий трафик с любого исходного IP-адреса. Однако в определенных сценариях может потребоваться более строгий контроль доступа для повышения безопасности вашей инфраструктуры. Одним из общих требований является разрешение доступа только к ресурсам внутри одного виртуального частного облака (VPC). В этой статье мы рассмотрим несколько методов достижения этой цели и предоставим примеры кода для каждого подхода.

Метод 1. Использование правил группы безопасности

Первый метод предполагает настройку правил группы безопасности, разрешающих доступ только из одного и того же VPC. Вот пример использования AWS CLI:

aws ec2 authorize-security-group-ingress \
    --group-id <your-security-group-id> \
    --protocol tcp \
    --port <your-port-number> \
    --source-group <your-security-group-id>

В этой команде замените <your-security-group-id>на идентификатор вашей группы безопасности и <your-port-number>на нужный номер порта.

Метод 2: обращение к идентификаторам групп безопасности в CloudFormation

Если вы используете AWS CloudFormation для управления своей инфраструктурой, вы можете добиться того же результата, ссылаясь на идентификаторы групп безопасности в том же VPC. Вот пример фрагмента YAML CloudFormation:

Resources:
  MyEC2Instance:
    Type: AWS::EC2::Instance
    Properties:
      SecurityGroupIds:
        - !Ref MySecurityGroup
  MySecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      VpcId: <your-vpc-id>
      # Other security group properties

В этом примере замените <your-vpc-id>на идентификатор вашего VPC. Ссылаясь на ресурс MySecurityGroup, вы гарантируете, что экземпляр EC2 доступен только из других ресурсов в том же VPC.

Метод 3: AWS CDK (комплект облачной разработки)

Те, кто использует AWS CDK, могут использовать конструкции для определения правил группы безопасности, которые разрешают доступ в пределах одного VPC. Вот пример использования TypeScript:

import * as ec2 from 'aws-cdk-lib/aws-ec2';
const vpc = new ec2.Vpc(this, 'MyVPC', {
  // VPC configuration
});
const mySecurityGroup = new ec2.SecurityGroup(this, 'MySecurityGroup', {
  vpc,
  // Other security group properties
});
mySecurityGroup.addIngressRule(mySecurityGroup, ec2.Port.tcp(<your-port-number>));

В этом примере замените <your-port-number>на нужный номер порта. Вызывая addIngressRule()в группе безопасности, вы настраиваете правило, которое разрешает входящий трафик только из той же группы безопасности, что в конечном итоге ограничивает доступ к ресурсам в пределах одного VPC.

Применяя любой из описанных выше методов, вы можете повысить безопасность своей среды AWS, разрешив доступ только к ресурсам внутри одного VPC. Такой детальный контроль сводит к минимуму поверхность атаки и снижает риск несанкционированного доступа из внешних источников.

Реализация этих ограничений доступа с помощью групп безопасности, CloudFormation или AWS CDK гарантирует, что ваша инфраструктура соответствует самым высоким стандартам безопасности, защищая ваши ресурсы и конфиденциальные данные.

Не забывайте регулярно проверять и обновлять настройки группы безопасности по мере развития инфраструктуры, чтобы поддерживать надежную и безопасную среду.