Grup keamanan berfungsi sebagai firewall virtual untuk instance Elastic Compute Service (ECS) Anda, mengontrol lalu lintas arah masuk dan arah keluar. Dengan mengelompokkan instance yang memiliki pola keamanan dan tingkat kepercayaan serupa, Anda dapat membuat domain keamanan yang berbeda untuk mengisolasi dan melindungi sumber daya cloud Anda.
Cara kerja
Saat membuat instance ECS, Anda harus mengaitkannya dengan setidaknya satu grup keamanan. Aturan dari semua grup keamanan yang terkait diurutkan berdasarkan prioritas untuk menentukan apakah lalu lintas diizinkan atau ditolak.
Anda dapat menambahkan, memodifikasi, atau menghapus aturan kapan saja. Perubahan langsung diterapkan ke semua instance dalam grup tersebut. Aturan grup keamanan ditentukan oleh sumber (untuk arah masuk) atau tujuan (untuk arah keluar), range port, protokol, kebijakan (Allow/Deny), dan prioritas. Aturan masuk mengontrol lalu lintas yang mencoba mengakses instance, sedangkan aturan keluar mengontrol lalu lintas yang berasal dari instance. Untuk informasi selengkapnya, lihat Aturan grup keamanan.
Aturan diterapkan pada antarmuka jaringan elastis primer (ENI) secara default. Untuk ENI sekunder yang disambungkan ke instance dalam VPC, Anda dapat menetapkan grup keamanan yang berbeda guna menerapkan kontrol lalu lintas detail halus.
Batasan konfigurasi:
Grup keamanan bersifat regional dan spesifik untuk VPC. Saat meluncurkan instance, vSwitch (subnet) dan grup keamanan yang ditentukan harus berada dalam VPC yang sama.
Instance atau ENI harus termasuk dalam setidaknya satu grup keamanan. Untuk batasan jumlah grup per instance atau per ENI, lihat Batasan.
Jika tidak ada grup keamanan yang ditentukan saat peluncuran, sistem secara otomatis menetapkan ENI primer ke grup keamanan default VPC. Untuk informasi selengkapnya, lihat Grup keamanan default.
Seperti yang ditunjukkan pada gambar berikut, pertimbangkan sebuah VPC yang berisi ECS 1 dan ECS 2. Kedua instance menggunakan ENI primer dan dikaitkan dengan Security Group 1. Security Group 1 adalah kelompok keamanan dasar dengan kebijakan konektivitas intra-grup default. ECS 1 dan ECS 2 dapat saling berkomunikasi melalui jaringan internal. Kepercayaan implisit ini mengabaikan aturan kustom kecuali secara eksplisit ditimpa. Akses arah masuk dan arah keluar diatur oleh aturan kustom. Misalnya, jika aturan arah masuk mengizinkan ICMP, IP apa pun dapat melakukan ping ke instance tersebut. Jika tidak ada aturan arah keluar yang ditentukan, semua lalu lintas keluar diizinkan secara default.
Jenis Grup Keamanan
Kelompok keamanan dasar dan kelompok keamanan tingkat lanjut
Berdasarkan atribut jaringannya, grup keamanan diklasifikasikan sebagai dasar atau tingkat lanjut. Kedua jenis ini tidak dikenai biaya. Saat berinteraksi dengan API atau CLI ECS, parameter SecurityGroupType membedakan dua jenis atribut utama: Dasar (normal) dan Tingkat Lanjut (enterprise).
Kelompok keamanan dasar: Mendukung konektivitas intra-grup (instance dalam grup dapat berkomunikasi secara default). Anda dapat mengizinkan lalu lintas dari grup keamanan lain dengan menentukan ID-nya (misalnya, sg-123) sebagai sumber/tujuan. Kelompok keamanan dasar mendukung lebih sedikit alamat IP pribadi.
Kelompok keamanan tingkat lanjut: Tidak memiliki konektivitas intra-grup implisit. Anda harus secara eksplisit menggunakan alamat IP atau blok CIDR (misalnya, 10.0.0.0/24) dalam aturan. Kelompok keamanan tingkat lanjut mendukung jumlah alamat IP pribadi yang jauh lebih besar.
Jika ENI dikaitkan dengan beberapa grup keamanan, semuanya harus berjenis sama (semua Dasar atau semua Tingkat Lanjut). Untuk informasi selengkapnya, lihat Kelompok keamanan dasar dan kelompok keamanan tingkat lanjut.
Grup keamanan kustom dan grup keamanan terkelola
Berdasarkan kepemilikan manajemen, grup keamanan diklasifikasikan sebagai kustom atau terkelola. Grup keamanan kustom maupun terkelola dapat berupa dasar atau tingkat lanjut.
Grup keamanan kustom: Dibuat dan dikelola oleh Anda melalui Konsol ECS atau API. Anda memiliki kontrol penuh atas aturan dan siklus hidupnya. Grup keamanan default merupakan jenis grup keamanan kustom. Untuk informasi selengkapnya, lihat Membuat grup keamanan.
Grup keamanan terkelola: Dibuat secara otomatis oleh layanan cloud untuk memfasilitasi operasinya. Grup ini bersifat read-only dan Anda tidak dapat memodifikasi aturannya. Untuk informasi selengkapnya, lihat Grup keamanan terkelola.
Mengidentifikasi grup keamanan terkelola: Atribut ServiceManaged mengembalikan nilai True pada API DescribeSecurityGroups, atau konsol menampilkan banner Managed by Cloud Service.
Praktik terbaik penggunaan grup keamanan
Untuk menjaga postur keamanan yang kuat, ikuti panduan berikut:
Tetapkan konvensi penamaan
Gunakan nama dan tag yang jelas serta deskriptif untuk grup keamanan Anda. Penandaan yang konsisten memudahkan penyaringan sumber daya dan manajemen operasional saat infrastruktur Anda berkembang.
Perlakukan grup keamanan sebagai daftar putih
Tolak semua akses secara default. Hanya tambahkan aturan yang secara eksplisit mengizinkan lalu lintas untuk port dan IP sumber tertentu.
Hak Istimewa Minimum (PoLP)
Berikan hanya akses minimum yang diperlukan. Alih-alih mengizinkan
0.0.0.0/0pada port 22 (SSH), batasi akses port 22 hanya ke CIDR kantor perusahaan Anda atau IP bastion host tertentu.Ikuti prinsip hak istimewa minimal
Jika instance ECS dalam kelompok keamanan dasar tidak perlu saling berkomunikasi melalui jaringan internal, atur kebijakan konektivitas intra-grup menjadi isolasi internal.
Pertahankan aturan tetap sederhana
Kelompokkan aturan berdasarkan tujuan ke dalam grup keamanan yang berbeda dan kaitkan instance Anda dengan grup-grup tersebut. Terlalu banyak aturan dalam satu grup keamanan meningkatkan kompleksitas manajemen. Gunakan fitur pemeriksaan kesehatan untuk mengidentifikasi dan menghapus aturan yang tidak digunakan.
Isolasi instance berdasarkan peran aplikasi
Kaitkan instance yang menghadap publik dengan grup keamanan yang hanya membuka port 80/443. Instance basis data (MySQL, Redis) harus berada dalam grup keamanan terpisah yang menolak semua akses internet publik dan hanya menerima lalu lintas dari grup keamanan tier aplikasi.
Jangan pernah memodifikasi grup keamanan produksi secara langsung
Kloning grup keamanan ke lingkungan staging → Terapkan perubahan → validasi konektivitas → terapkan ke produksi.
Referensi
Kontrol akses: Untuk pembahasan mendalam tentang strategi isolasi, lihat Mengelola grup keamanan dan aturan.
Kuota: Untuk batasan jumlah aturan per grup atau jumlah grup per instance, lihat Batasan.
Jaringan: Untuk menyambungkan beberapa antarmuka, lihat Ikhtisar ENI.
Catatan keamanan: Meskipun grup keamanan merupakan lapisan pertahanan penting, grup keamanan harus menjadi bagian dari strategi keamanan komprehensif. Untuk langkah-langkah keamanan holistik, lihat Keamanan ECS.