私は、VPC 内の EC2 サーバーで作業しており、送信トラフィックをできるだけ少なくし、すべての送信トラフィックを明示的にホワイトリストに登録したいと考えています。ただし、EC2 セキュリティ グループまたはネットワーク ACL に基づいて、許可される IP アドレスを正確に指定する必要があるようです。(代わりに、特定のポートですべての IP を許可することは避けたいです。)
サードパーティのサービスの多くはIPアドレスをリストしています。たとえば、New Relicでは次のアドレスにリストしています。https://docs.newrelic.com/docs/site/networks。
ただし、その多くはそうではありません。たとえば、Ubuntu リポジトリに相当するものを見つけるのに苦労していますが、これはおそらく IP がローテーションされるためです。(Google API の IP アドレスも見つからないようです。)
誰かが 1) 私が間違っていることを教えてくれて、出力ホワイトリスト IP を DNS 解決と同期させる方法を指摘してくれるか、2) 比較的安全で偏執的な VPC で通常どのように送信トラフィックがフィルタリングされるかを説明してくれることを期待していました。
通常は必要なポートをホワイトリストに登録し、IP の細分化には気を配りませんか? より高度なフィルタリングに使用している一般的なファイアウォール/NAT ソフトウェアはありますか?
この質問が十分に具体的なものであることを願っています。よろしくお願いします。
答え1
すべての送信トラフィックを明示的にホワイトリストに登録
インスタンスからのすべての送信トラフィックは、デフォルトで AWS に明示的にホワイトリストに登録されます。
送信トラフィックをできるだけ少なくしたいVPCでは、
インフラストラクチャの残りの部分におけるインスタンスの役割についての詳細を知らなくても、これが起こると想像できます。
次のことが可能です。A. パブリック サブネットとプライベート サブネットを含むトポロジを使用します。ミッション クリティカルなセキュリティやコンピューティング インスタンスを備えたインスタンスはプライベート サブネットで実行され、プライベート IP 上の管理インスタンスにのみアクセス可能になります。
B. VPN を使用して、プライベートサブネット上のインスタンスを外部からアクセス可能にすることができます。
C. これらがインターネットに接続されたサーバーである場合、主要なサービス (Dovecot、NGINX など) を除くすべての IP への送信接続を禁止し、Puppet を使用して自動アップグレード (管理インスタンスによって VPC にダウンロードされたリポジトリから) を行うことができます。この方法では、一部のミラー リポジトリの IP について心配する必要はなく、検証されるまですべてのリポジトリを禁止し、最小限の労力で自動更新を実行するだけです。
これがお役に立てば幸いです (役に立った場合は、投票してください)。
より高度なフィルタリングに使用している一般的なファイアウォール/NAT ソフトウェアはありますか?
厳格なセキュリティを必要とする人々のために、いくつかのセキュリティ企業が AWS Marketplace でソリューション (国ブロックなど) を販売しています。