Einstieg in die AWS-Cloud – Teil 3 Security Groups und NetworkACLs einichten

NetworkACLs funktionieren als Stateless-Firewall zischen Subnetzen in einem VPC.

Sobald eine AWS VPC angelegt ist, sollte diese abgesichert werden. Erst mit Security Groups und NetworkACL sind die EC2-Instanzen im VPC bereit für weitere Aufgaben.

Nachdem wir im ersten Artikel dieser AWS-Reihe die IAM-Umgebung (Identity Access Management) aufgesetzt und im zweiten Artikel die grundlegende Virtual Private Cloud konfiguriert haben, zeigen wir in diesem Artikel die weitere Konfiguration der AWS VPC mit Firewall und Netzwerk-ACL (Access Control List).

Klickt man nach dem Erstellen der grundlegenden Virtual Private Cloud im VPC-Dashboard auf Your VPCs, taucht die neue VPC (gegebenenfalls neben anderen vorhandenen VPCs) in der VPC-Liste auf.

Markiert man diese, sind im unteren Bereich unterhalb des zugehörigen AWS-Namens für die VPC (hier vpc-e653d48e) die drei Reiter SummaryFlow Logs und Tags zu sehen, wobei der Reiter Tags das oben im Verlauf des Assistenten vergebene Tag Name=VPC TechTarget zeigt.

Tags dienen zum schnellen Durchsuchen des AWS-Inventars nach AWS-Objekten. Im Reiter Summary finden sich Details wie der eingegebene CIDR-Block (Classless Inter-Domain Routing) und zwei Links, welche auf verwandte Ressourcen führen, zum Beispiel eine DHCP-OptionSet, die standardmäßig weit offene Netzwerk-ACL und die Routing-Tabelle, hier rtb-85a5ded.

Klickt man im VPC Dashboard auf Subnets, so ist das neu erstellte Subnetz Public Subnet1 TechTarget zu sehen. Markiert man es, zeigt der Reiter Summary analog zur VPC die Details des Subnetzes an, wobei wieder alle blau gefärbten Einträge Links sind, zum Beispiel auf die übergeordnete VPC, die Network ACL und die Routing-Tabelle des Subnetzes.

Letztere sollte man dann zur Kontrolle auch anklicken. Alternativ wechselt man direkt zum Tab Route Table.

Hier ist zu erkennen, dass diese Routing-Tabelle das Subnetz wie erwartet mit dem per Default erzeugten Internetgateway Igw-cae3e6a3 verbindet. Das bedeutet, dass jede EC2-Instanz, die später in diesem Subnetz erzeugt wird, aus dem Internet erreichbar ist, indem sie eine öffentliche IP-Adresse aus dem AWS-Pool erhält, während Datenverkehr „aus“ dem VPC 10.0.0./16 auf das Target local zeigt. Die vorhandenen Internet-Gateways finden sich, wie zu erwarten, im VPC-Dashboard im Menü Internet Gateways. Markiert man hier das gerade erwähnte Gateway, hat es hier im Summary-Tab den Status attached und bei Attached VPC ID: verweist der blaue Link vpc-e653d48e wieder auf die angeschlossene VPC. Ein Klick darauf würde wieder zurück zur VPC-Ansicht führen.

Hier weiterlesen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.