Sieci: VPC, podsieci, security groups
Sieć w AWS to VPC (Virtual Private Cloud) — izolowana przestrzeń adresowa w danym regionie. To w niej żyją EC2, RDS i inne zasoby. Poprawna segmentacja i reguły filtrowania to pierwsza linia obrony — i jeden z głównych obszarów, które ZEUS sprawdza pod kątem ekspozycji.
VPC i podsieci
VPC ma zakres CIDR (np. 10.0.0.0/16) podzielony na podsieci związane ze
strefami dostępności (AZ). Kluczowy podział:
- Podsieć publiczna — ma trasę do Internet Gateway (IGW); zasoby mogą mieć publiczne IP.
- Podsieć prywatna — bez bezpośredniego dostępu z internetu; wyjście na zewnątrz przez NAT Gateway.
# Utwórz VPC
aws ec2 create-vpc --cidr-block 10.0.0.0/16 \
--tag-specifications 'ResourceType=vpc,Tags=[{Key=Name,Value=vpc-zeus}]'
# Podsieć publiczna w AZ a
aws ec2 create-subnet --vpc-id vpc-xxxx \
--cidr-block 10.0.1.0/24 --availability-zone eu-central-1a
Security Groups vs NACL
AWS ma dwie warstwy filtrowania:
| Cecha | Security Group | Network ACL |
|---|---|---|
| Poziom | instancja (ENI) | podsieć |
| Stan | stateful | stateless |
| Reguły | tylko allow | allow + deny |
| Domyślnie | wszystko zablokowane in | wszystko dozwolone |
Security Group jest stateful (ruch zwrotny dozwolony automatycznie) i to głównego narzędzia używasz na co dzień.
# Reguła: zezwól na HTTPS z internetu
aws ec2 authorize-security-group-ingress \
--group-id sg-xxxx --protocol tcp --port 443 --cidr 0.0.0.0/0
# Reguła SSH ograniczona tylko do biura (NIGDY 0.0.0.0/0!)
aws ec2 authorize-security-group-ingress \
--group-id sg-xxxx --protocol tcp --port 22 --cidr 203.0.113.0/24
Wskazówka: najczęstszy krytyczny finding to security group z
0.0.0.0/0na porcie 22 (SSH) lub 3389 (RDP). Dostęp administracyjny ograniczaj do znanych adresów albo używaj SSM Session Manager — bez otwierania portów w ogóle.
VPC Endpoints — prywatny dostęp do usług AWS
Zamiast wychodzić przez internet do S3 czy DynamoDB, VPC Endpoint trzyma ruch wewnątrz sieci AWS. To odpowiednik Private Link z Azure i podstawa architektury bez publicznej ekspozycji.
Jak to widzi ZEUS
Przez Boto3 i API EC2 ZEUS odczytuje topologię: VPC, podsieci, tablice routingu, Internet/NAT Gateway oraz wszystkie reguły security groups i NACL. Na tej podstawie oznacza zasoby wystawione publicznie i niebezpiecznie otwarte porty zarządzania. To dane, które trafiają do widoku postawy bezpieczeństwa obok analogicznych z Azure i GCP.
W następnej lekcji: compute i storage — EC2, S3 i RDS.