What is security group of EC2 ?

EC2 ရဲ့ Security group ဆိုတာ ဘာလဲ .. ဘယ်လိုအလုပ်လုပ်လဲ..?

Amazon EC2 instance တစ်ခုကို Launching လုပ်တဲ့ အခါမှာ သူ့အတွက် Security group သတ်မှတ်ဖို့လိုအပ်ပါတယ်။ Security group ဟာဆိုရင် virtual firewall တစ်ခုလိုမျိုး လုပ်ဆောင်ပါတယ်။တစ်ခုထက်ပိုတဲ့ instances တွေရဲ့ traffic တွေကိုလဲ control လုပ်ခြင်းကိုလဲ ဆောင်ရွက်ပါတယ်။

EC2 မှာ instance တစ်ခုကို launch လုပ်တဲ့ အခါ instance ကို တစ်ခု ဒါမှမဟုတ် တစ်ခုထက်ပိုတဲ့ security group တွေနဲ့ associate လုပ်ရပါမယ်။ မိမိတို့ရဲ့ EC2 instance မှာ ထည့်သွင်းထားတဲ့ webserver တွေကို network ကွန်ရက်မှတစ်ဆင့် မိမိ ကွန်ပြူတာကနေ ဖွင့်နိုင်တဲ့ protocols/ports တွေကို ခွင့်ပြု မပြုဆိုတဲ့ စည်းမျဉ်းတွေ လုပ်လို့ရပါတယ်။

ပုံမှန် firewalls တွေနဲ့တော့ မတူပါဘူး။ သို့သော် permissive rules တွေနဲ့ ကိုယ်တိုင် security groups တွေကို တည်ဆောက်နိုင်ပါတယ်။ Default security group တွေကို အသုံးပြုနိုင်သလို မိမိ စိတ်ကြိုက် ပြောင်းလဲ ပြင်ဆင်နိုင်ပါတယ်။

Users တွေအနေနဲ့ traffic တွေကို ဖယ်ရှားဖို့ ကိုတော့ provide မလုပ်နိုင်ပါဘူး။ ဆိုလိုတာက instance တစ်ခုတွက်  rules  တွေကိုသာ ထည့်မထားဘူးဆိုရင် inbound/outbound traffic အားလုံး block ဖြစ်သွားပါလိမ့်မယ်။

EC2 instance ရဲ့ security groups တပ်ဆင်ခြငး်က အရမ်းကို အရေးပါတဲ့အရာတစ်ခုဘဲ ဖြစ်ပါတယ်။ ဘာလို့ဆို risks/threats တွေကို protect လုပ်နိုင်မှာ ဖြစ်ပါတယ်။

Default security group ကို ရွေးမယ် ဆိုရင်တော့ သူရဲ့ default setting တွေကတော့ အောက်ပါပုံအတိုင်းဘဲဖြစ်ပါတယ်။

Protocols တွေဖြစ်တဲ့ TCP/UDP/ICMP (ICMP က ping အတွက် အသုံးပြုခြင်း ဖြစ်သည်။ ) တို့ကို configure လုပ်ထားတာဖြစ်ပါတယ်။ Protocol တစ်ခုခြင်းစီတိုင်းအတွက် ports range တစ်ခုခြင်းရှိပါတယ်။ (ICMP ကတော့ port ကို အသုံးပြုပါဘူး။ သူ့ရဲ့ range ဟာ -1 to -1 range ရှိခြင်းကြောင့်သာ ဖြစ်ပါသည်။ ) နောက်ဆုံး က source(ip or group) တွေဟာဆိုရင်ဖြင့် security group ရဲ့ protocols တွေ ports တွေကို အလုပ်လုပ်ဖို့ရန် IP addresses range ဒါမှမဟုတ်  members တွေနဲ့လဲ allow လုပ်နိုင်ပါသေးတယ်။

အပေါ်မှာ ပြောပြခဲ့တဲ့ Default security group ဟာဆိုရင် နည်းနညး်တော့ရှုပ်ထွေးကောင်းရှုပ်ထွေးနေပါလိမ့်မယ်။ မိမိရဲ့ network ဟာ အရမ်း ကျယ်ပြန့်သွားမှာ ဖြစ်ပါတယ်။ ဒါကြောင့် အကုန်လုံးကို မချိတ်ဆက်မိစေရန်ဖို့တွက် default group ၏ members အနေနဲ့ မိမိ computers ရဲ့ protocols/ports တွေကိုသာ ဖွင့်ထားဖို့ရန် လိုပါတယ်။ ဒီလိုမှမဟုတ်ရင် Default group ဟာဆိုရင်ဖြင့် computers တစ်ခုထဲကနေသာ ဖွင့်နိုင်ဖို့ရန် default ထားတာ ဖြစ်ပါတယ်။ ဘယ်လိုဘဲ ဖြစ်ဖြစ် မိမိရဲ့ EC2 instance ကို internet access ကိုအသုံးပြုပြီး ဘယ် computer ကမှ across လုပ်ပြီး ဝင်ရောက်နိုင်မှာ မဟုတ်ပါဘူး။

တစ်ကမ္ဘာလုံး အသုံးပြုနိုင်ဖို့ ဆိုရင် တော့ protocols/ports တစ်ချို့ကို ဖွင့်ထားဖို့တော့လိုပါတယ်။ အောက်ပါပုံမှာဆိုရင် preconfigure လုပ်နိုင်တဲ့ Connection Method တွေကို တွေ့မြင်ရမှာပါ။

ဥပမာအနေနဲ့ EC2 instance ကို Web server တစ်ခု အဖြစ် config လုပ်မယ်ဆိုပါစို့ ။ အဲ့အခါမှာ HTTP/HTTPS protocols တွေ allow လုပ်ဖို့လိုပါတယ်။ list ထဲကနေ ရွေးပြီး config လုပ်လိုက်တဲ့အခါ security group ကနေ အောက်ပါပုံအတိုင်း ပြောင်းလဲသွားမှာ ဖြစ်ပါတယ်။

အဓိက မှတ်သားထားရမှာက တော့ source IP ဘဲဖြစ်ပါတယ်။ IP address အားလုံးတိုင်းကို “0.0.0.0/0”  သတ်မှတ်လိုက်တဲ့အခါ protocol / port range access လုပ်မဲ့ အရာကို သတ်မှတ်လိုက်ခြင်းဖြစ်တယ်။ ဥပမာ အနေနဲ့ TCP ports 80 နဲ့ 443 ဆိုရင် Internet ပေါ်မှာ ဘယ် computer ကနေ မဆို access လုပ်နိုင်ပြီး web server ကို access လုပ်နိုင်မှာ ဖြစ်ပါတယ်။

Server ကို ထိန်းသိမ်းဖို့ရန် ဒါမှမဟုတ် file တွေကို upload တင်ဖို့ရန် အစရှိတဲ့ services တွေ ခွင့်ပြုပေးရပါမယ်။ ဥပမာ Windows server တစ်ခု config လုပ်မယ်ဆိုရင် Remote Desktop ကို အသုံးပြုဖို့လိုပါတယ်။ ထိုအခါမှာ ဆိုရင်TCP port 3389 ကို အသုံးပြုပြီး RDP ကို enable လုပ်ဖို့ လိုပါတယ်။

RDP က TCP port 3389 မှာဘဲ အလုပ်လုပ်ပါတယ်။ အပေါ်က ပုံမှာဆိုရင် source ip မှာရှိတဲ့ IP address သာလျှင် enable ဖြစ်နေမှာ ဖြစ်ပါတယ်။ နောက်တစ်ခုမှတ်ထားရမှာက IP address အဆုံးမှာ “/0” သတ်မှတ်တာတွေမလုပ်ပါနဲ့ အကယ်လို့ လုပ်ခဲ့မယ်ဆိုရင် ကမ္ဘာပေါ်မှာရှိတဲ့ computer တိုင်းကနေ အဲ့ port ကို access လုပ်နိုင်ဘဲဖြစ်ပါတယ်။ IP address အဆုံးမှာ“/32” single address နဲ့ access လုပ်နိုင်စွမ်းကို ကန့်သန့်နိုင်ပါတယ်။

ကျေးဇူးတင်ပါတယ်။

Leave a Reply

Your email address will not be published. Required fields are marked *