Ich arbeite mit EC2-Servern in einem VPC, wo wir so wenig ausgehenden Datenverkehr wie möglich haben möchten und den gesamten ausgehenden Datenverkehr explizit auf eine Whitelist setzen möchten. Basierend auf EC2-Sicherheitsgruppen oder Netzwerk-ACLs sieht es jedoch so aus, als müsste ich die genauen IP-Adressen angeben, die zulässig sind. (Die Alternative, alle IPs auf einem bestimmten Port zuzulassen, möchte ich vermeiden.)
Eine ganze Reihe von Diensten von Drittanbietern haben IP-Adressen aufgelistet - New Relic listet sie beispielsweise unterhttps://docs.newrelic.com/docs/site/networks.
Bei vielen ist das jedoch nicht der Fall. Ich hatte beispielsweise Probleme, das Äquivalent für Ubuntu-Repositories zu finden, und das liegt wahrscheinlich daran, dass sie IPs rotieren. (Ich kann anscheinend auch die IP-Adressen für Google APIs nicht finden.)
Ich hatte gehofft, dass mir jemand entweder 1) sagen kann, dass ich falsch liege, und eine Möglichkeit aufzeigen kann, wie die auf der Whitelist aufgeführten IPs für ausgehenden Datenverkehr mit ihrer DNS-Auflösung synchron gehalten werden können, oder 2) erklären kann, wie ausgehender Datenverkehr in einem relativ sicheren/paranoiden VPC normalerweise gefiltert wird.
Setzen Sie normalerweise nur die benötigten Ports auf die Whitelist und kümmern Sie sich nicht um die IP-Granularität? Gibt es eine beliebte Firewall-/NAT-Software, die Sie für eine anspruchsvollere Filterung verwenden?
Ich hoffe, diese Frage war konkret genug – Danke im Voraus!
Antwort1
und dass der gesamte ausgehende Datenverkehr explizit auf die Whitelist gesetzt wird
Der gesamte ausgehende Datenverkehr einer Instanz wird bei AWS standardmäßig explizit auf die Whitelist gesetzt.
in einer VPC, in der wir so wenig ausgehenden Datenverkehr wie möglich haben möchten,
Ohne genauere Informationen über die Rolle Ihrer Instanzen für den Rest Ihrer Infrastruktur zu haben, kann ich mir Folgendes vorstellen.
Sie könnten: A. eine Topologie mit einem öffentlichen und einem privaten Subnetz verwenden. Instanzen mit unternehmenskritischer Sicherheit und/oder Recheninstanzen würden im privaten Subnetz ausgeführt und wären nur für eine Verwaltungsinstanz über ihre privaten IPs zugänglich.
B. Sie könnten Instanzen in Ihrem privaten Subnetz über VPN von außen zugänglich machen.
C. Wenn es sich um internetbasierte Server handelt, können Sie alle ausgehenden Verbindungen zu allen IP-Adressen außer den primären Diensten (Dovecot, NGINX usw.) untersagen und Puppet für automatische Upgrades verwenden (aus einem Repository, das von Ihrer Verwaltungsinstanz in Ihr VPC heruntergeladen wurde). Auf diese Weise müssen Sie sich keine Gedanken über die IP-Adressen einiger gespiegelter Repositorys machen. Sie können sie einfach alle verbieten, bis sie überprüft wurden, und mit minimalem Aufwand automatische Updates ausführen.
Hoffe, das hilft (und wenn ja, stimmen Sie bitte ab).
Gibt es eine beliebte Firewall-/NAT-Software, die Sie für anspruchsvollere Filterung verwenden?
Einige Sicherheitsunternehmen verkaufen ihre Lösungen auf dem AWS Marketplace (z. B. Länderblocker) für diejenigen unter uns, die paranoide Sicherheit benötigen.