Lobster Cloud verwendet AWS-Security-Groups als virtuelle Firewalls zur Steuerung des gesamten ein- und ausgehenden Netzwerkverkehrs zu Ihrem System. Diese Seite erläutert, wie Security-Groups funktionieren, welche Einschränkungen gelten und wie Sie Änderungen anfragen können.
Funktionsweise der Security-Groups
Jede Lobster Cloud-Systemkomponente (LDP-Server, DMZ-Server, DEV-Server) verfügt über eine eigene dedizierte AWS-Security-Group. Eine Security-Group fungiert als zustandsbehaftete Firewall, die den Datenverkehr anhand definierter Regeln auswertet, bevor der Zugriff erlaubt oder verweigert wird.
Aspekt | Details |
|---|---|
Geltungsbereich | Jede Systemkomponente verfügt über eine eigene Security-Group mit individuellen Regeln. |
Zustandsbehaftet | Wenn eine eingehende Verbindung zugelassen wird, ist der Antwortverkehr automatisch erlaubt, ohne dass eine separate ausgehende Regel erforderlich ist. |
Auswertung | Alle Regeln werden ausgewertet, bevor eine Entscheidung getroffen wird. Wenn keine Regel zutrifft, wird der Datenverkehr standardmäßig verweigert. |
Standardkonfiguration
Richtung | Standardverhalten |
|---|---|
Eingehender Datenverkehr | Standardmäßig geschlossen. Nur explizit autorisierte IP-Adressen und Ports sind zugelassen. |
Ausgehender Datenverkehr | Standardmäßig geöffnet. Ihr System kann ohne Einschränkung mit externen Endpunkten (Partnersystemen, APIs, Diensten) kommunizieren. |
Die folgenden Ports sind standardmäßig auf jedem System öffentlich erreichbar:
Port | Protokoll | Einschränkung |
|---|---|---|
80 | HTTP | Ausschließlich für die Let's-Encrypt-Zertifikatsvalidierung. Sämtlicher sonstiger HTTP-Datenverkehr wird auf Port 443 umgeleitet. |
443 | HTTPS | Offen für Webservices, Plattform-Login und AS2-Kommunikation. |
Alle weiteren Ports sind standardmäßig geschlossen und müssen explizit angefragt werden.
Regelformat und Einschränkungen
Einschränkung | Details |
|---|---|
Maximale Anzahl Regeln | 960 Firewall-Regeln pro System. |
Ausschließlich IP-basiert | In Security-Group-Regeln können nur IP-Adressen verwendet werden. DNS-Namen werden nicht unterstützt. |
Kein Self-Service | Sie können Security-Groups nicht direkt ändern. Alle Änderungen müssen per Support-Ticket angefragt werden. |
Keine zusätzlichen Security-Groups | Sie können keine neuen Security-Groups zu Ihrer Umgebung hinzufügen. Es stehen ausschließlich die während der Bereitstellung erstellten Security Groups zur Verfügung. |
Firewall-Änderungen anfragen
Um eine Firewall-Regeländerung anzufragen, erstellen Sie ein Support-Ticket an support@lobster.de mit folgenden Informationen:
Erforderliche Information | Beschreibung |
|---|---|
System | Für welches System die Regel gelten soll (Produktion, Test, DMZ, DEV). |
Richtung | Ob die Regel für eingehenden oder ausgehenden Datenverkehr gilt. |
Port | Die zu öffnende oder zu schließende Portnummer. |
IP-Adresse(n) | Die spezifischen IP-Adressen, die autorisiert werden sollen. Geben Sie einzelne IPs oder CIDR-Bereiche an. |
Protokoll | TCP, UDP oder beides. |
Zweck | Eine kurze Beschreibung des Kommunikationspartners und des Anwendungsfalls. |
Hinweis:
Das Lobster Cloud Operations Team bearbeitet Firewall-Änderungsanfragen während der regulären Servicezeiten (Montag bis Freitag, 08:00 bis 17:00 Uhr UTC+1/+2).
Wichtige Hinweise
Ihre lokale Firewall
Wenn Lobster einen Port in der AWS-Security-Group öffnet, muss Ihr Kommunikationspartner den entsprechenden Port ebenfalls in seiner lokalen Firewall geöffnet haben. Eine häufige Ursache für Konnektivitätsprobleme ist, dass der Port auf der Lobster Cloud Seite geöffnet, aber auf der Partner- oder Kundenseite blockiert ist.
IP-Adressänderungen
Wenn sich die IP-Adresse eines Ihrer Kommunikationspartner ändert, müssen Sie eine neue Firewall-Änderungsanfrage einreichen. Die alte Regel mit der bisherigen IP-Adresse sollte gleichzeitig entfernt werden, um Ihren Regelsatz übersichtlich zu halten und innerhalb des Limits von 960 Regeln zu bleiben.
Ausgehende Verbindungen
Ausgehende Verbindungen von Ihrem Lobster Cloud System sind standardmäßig geöffnet. Sie müssen keine Firewall-Regel für ausgehenden Datenverkehr anfragen. Das Zielsystem muss jedoch eingehende Verbindungen von der öffentlichen IP-Adresse Ihres Lobster Cloud Systems zulassen.
VPN-Datenverkehr
VPN-Datenverkehr wird durch die VPN-Routing-Konfiguration und Security-Group-Regeln gesteuert.