AWS 上の NAT ゲートウェイに SG を接続する

tag-icon tag-icon amazon-web-services security firewall
AWS 上の NAT ゲートウェイに SG を接続する

AWS の NAT ゲートウェイのネットワーク インターフェイスにステートフル セキュリティ グループをアタッチするにはどうすればよいですか? 手動で追加しようとすると、ポータルに「指定されたリソースにアクセスする権限がありません。」というエラーが表示されます。

デフォルトでは、NAT ゲートウェイのインターフェースにはセキュリティ グループが接続されていないため、VPC フロー ログには受信インターネット トラフィックが受け入れられたものとして表示されます。実際のトラフィックは NAT ゲートウェイによって受け入れられず、ドロップされることはわかっていますが、それでもログが乱雑になるため、非常に煩わしいです。

ここで、NAT ゲートウェイのプライベート IP は 10.0.1.226 であり、パブリック インターネットからプローブされていることがわかります。

version  account-id    interface-id           srcaddr          dstaddr     srcport  dstport  protocol  packets  bytes  start       end         action  log-status
2        770604943877  eni-0d9c6092f69e85b93  162.142.125.159  10.0.1.226  54995    20121    6         1        44     1631843704  1631843705  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  192.241.207.249  10.0.1.226  37490    8098     6         1        40     1631843722  1631843724  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  89.248.165.59    10.0.1.226  52915    5017     6         1        40     1631843709  1631843741  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  45.135.232.119   10.0.1.226  43453    8737     6         1        40     1631843761  1631843762  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  162.142.125.149  10.0.1.226  4078     9010     6         1        44     1631843780  1631843782  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  89.248.165.204   10.0.1.226  53823    5354     6         1        40     1631843789  1631843799  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  192.241.215.86   10.0.1.226  43709    137      17        1        78     1631843789  1631843799  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  162.142.125.146  10.0.1.226  14176    18045    6         1        44     1631843739  1631843790  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  162.142.125.150  10.0.1.226  48059    21381    6         1        44     1631843739  1631843790  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  185.191.34.207   10.0.1.226  59477    36       6         1        40     1631843739  1631843790  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  91.132.58.183    10.0.1.226  5106     5162     17        1        443    1631843739  1631843790  ACCEPT  OK

インターネットからの受信トラフィックを拒否するネットワーク ACL を追加すると、VPC が開始した送信インターネット アクセスへの応答が受け入れられなくなります。

関連している:https://aws.amazon.com/premiumsupport/knowledge-center/vpc-analyze-inbound-traffic-nat-gateway/

答え1

質問が少しわかりにくいと思います。「NSG」とおっしゃっている場合、「セキュリティ グループ」を意味していると思います。Azure には「ネットワーク セキュリティ グループ」があり、AWS にはセキュリティ グループがあります。また、何を達成しようとしているのかを述べておらず、何が機能していないのかを述べているため、サポートが困難になっています。一般的な考えをいくつかお伝えしますが、これらが正しくない場合は、何を達成しようとしているのかを述べ、略語を修正するように質問を編集してください。

NAT ゲートウェイにはセキュリティ グループがありません。セキュリティ グループとは、EC2 インスタンスなどの ENI の周囲のファイアウォールです。受信トラフィックには料金が発生しないため、特定の問題やインシデントのセキュリティ調査以外では、NAT ゲートウェイによって拒否されるものについてあまり気にする必要はありません。NAT ゲートウェイには何も入ってきません。それが NAT ゲートウェイの目的です。

主な問題は、VPC フロー ログ内の拒否トラフィック (NAT ゲートウェイがインターネットから拒否するトラフィック) のようです。私の主なアドバイスは、これを無視することです。これは、高セキュリティ環境でのフォレンジック目的でいつか役立つかもしれないからです。または、必要ない場合は VPC フロー ログをオフにしてください。私は診断に VPC フロー ログを使用し、PCI / CIS / 同様のコンプライアンスが必要な場合にのみログ タームに残します。これらのログには常に大量の拒否トラフィックが含まれます。かつて、インターネット アクセスのない内部サブネットで拒否を追跡するのにかなりの時間を費やしましたが、何も得られないうちに時間切れになりました。そのまま放置しました。

範囲を変更することができますVPC フローログVPC 全体のフロー ログを作成する代わりに、プライベート サブネットのみのフロー ログを作成し、NAT ゲートウェイがパブリック サブネットにあることを確認します。こうすることで、インターネットからの拒否トラフィックはログに記録されません。

また、フロー ログを構成して、ACCEPT、REJECT、または両方のタイプのトラフィックをログに記録することもできます。

あなたのコメントを要約して回答します:

  1. VPC フロー ログは、ネットワーク診断 (ほとんどオンにされない) やコンプライアンス ログ (常にオンだが意図的に範囲が限定されている) に使用されるツールです。これをオンにする人は多くありません。
  2. VPC フロー ログは、正当な理由がある場合にのみオンにします。オンにするときは、必要なネットワーク インターフェイスとトラフィック タイプ (受け入れ / 拒否 / 両方) にスコープを設定します。
  3. 私はネットワーク診断を行うときにのみ VPC フロー ログを確認します。確認するのは特定のインターフェイス/イベントのためなので、確認する必要のないものはすべて無視します。
  4. Cloudwatch ログ グループを適切な保持期間に設定しました。

関連情報