SG an NAT-Gateway auf AWS anschließen

tag-icon tag-icon amazon-web-services security firewall
SG an NAT-Gateway auf AWS anschließen

Wie kann ich in AWS eine Stateful Security Group an die Netzwerkschnittstelle eines NAT-Gateways anhängen? Beim Versuch, sie manuell hinzuzufügen, erhalte ich im Portal die Fehlermeldung: „Sie haben keine Berechtigung, auf die angegebene Ressource zuzugreifen.“

Standardmäßig ist der Schnittstelle des NAT-Gateways keine Sicherheitsgruppe zugeordnet, sodass VPC-Flussprotokolle eingehenden Internetverkehr als akzeptiert anzeigen. Ich weiß, dass der eigentliche Verkehr vom NAT-Gateway nicht akzeptiert und gelöscht wird, aber das ist trotzdem sehr ärgerlich, da es die Protokolle überfüllt.

Hier lautet die private IP des NAT-Gateways 10.0.1.226 und Sie können sehen, dass es vom öffentlichen Internet aus abgefragt wird:

version  account-id    interface-id           srcaddr          dstaddr     srcport  dstport  protocol  packets  bytes  start       end         action  log-status
2        770604943877  eni-0d9c6092f69e85b93  162.142.125.159  10.0.1.226  54995    20121    6         1        44     1631843704  1631843705  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  192.241.207.249  10.0.1.226  37490    8098     6         1        40     1631843722  1631843724  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  89.248.165.59    10.0.1.226  52915    5017     6         1        40     1631843709  1631843741  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  45.135.232.119   10.0.1.226  43453    8737     6         1        40     1631843761  1631843762  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  162.142.125.149  10.0.1.226  4078     9010     6         1        44     1631843780  1631843782  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  89.248.165.204   10.0.1.226  53823    5354     6         1        40     1631843789  1631843799  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  192.241.215.86   10.0.1.226  43709    137      17        1        78     1631843789  1631843799  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  162.142.125.146  10.0.1.226  14176    18045    6         1        44     1631843739  1631843790  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  162.142.125.150  10.0.1.226  48059    21381    6         1        44     1631843739  1631843790  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  185.191.34.207   10.0.1.226  59477    36       6         1        40     1631843739  1631843790  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  91.132.58.183    10.0.1.226  5106     5162     17        1        443    1631843739  1631843790  ACCEPT  OK

Wenn ich Netzwerk-ACLs hinzufüge, um eingehenden Datenverkehr aus dem Internet abzulehnen, werden Antworten auf von VPC initiierte ausgehende Internetzugriffe nicht akzeptiert.

Verwandt:https://aws.amazon.com/premiumsupport/knowledge-center/vpc-analyze-inbound-traffic-nat-gateway/

Antwort1

Ich finde Ihre Frage etwas verwirrend. Wenn Sie „NSG“ sagen, meinen Sie vermutlich „Sicherheitsgruppe“. Azure hat „Netzwerksicherheitsgruppen“, AWS Sicherheitsgruppen. Außerdem haben Sie nicht gesagt, was Sie erreichen wollen, sondern was nicht funktioniert, was es schwierig macht, Ihnen zu helfen. Ich werde Ihnen einige allgemeine Gedanken dazu geben, aber wenn diese nicht stimmen, bearbeiten Sie bitte Ihre Frage, um zu sagen, was Sie erreichen wollen, und korrigieren Sie die Abkürzungen.

NAT-Gateways haben keine Sicherheitsgruppe. Eine Sicherheitsgruppe ist eine Firewall um ein ENI, beispielsweise auf einer EC2-Instanz. Sie zahlen nicht für eingehenden Datenverkehr, daher sollte es Sie nicht wirklich interessieren, was vom NAT-Gateway abgelehnt wird, außer bei Sicherheitsuntersuchungen bestimmter Probleme/Vorfälle. In ein NAT-Gateway kommt nichts, dafür sind sie da.

Es klingt, als wäre Ihr Hauptproblem der abgelehnte Datenverkehr in den VPC-Flussprotokollen, also der Datenverkehr, den das NAT-Gateway aus dem Internet ablehnt. Mein Hauptratschlag ist, ihn zu ignorieren, da er vielleicht eines Tages für forensische Zwecke in einer Hochsicherheitsumgebung nützlich sein könnte, oder VPC-Flussprotokolle abzuschalten, wenn Sie sie nicht brauchen. Ich verwende VPC-Flussprotokolle für Diagnosezwecke und lasse sie nur dann auf Protokollebene, wenn PCI-/CIS-/ähnliche Konformität erforderlich ist. In diesen Protokollen wird immer viel abgelehnter Datenverkehr enthalten sein. Ich habe einmal ziemlich viel Zeit damit verbracht, Ablehnungen in einem internen Subnetz ohne Internetzugang aufzuspüren, aber mir ging die Zeit aus, bevor ich weiterkam. Ich habe es einfach gelassen.

Sie können den Umfang derVPC-Flussprotokolle. Anstatt ein Flussprotokoll für das gesamte VPC zu erstellen, erstellen Sie ein Flussprotokoll nur für Ihre privaten Subnetze und stellen sicher, dass sich Ihr NAT-Gateway im öffentlichen Subnetz befindet. Auf diese Weise wird der verweigerte Datenverkehr aus dem Internet nicht protokolliert.

Sie können Flussprotokolle auch so konfigurieren, dass die Datenverkehrsarten ACCEPT, REJECT oder BEIDE protokolliert werden.

Um Ihren Kommentar zusammenzufassen und darauf einzugehen:

  1. VPC-Flussprotokolle sind ein Tool, das für die Netzwerkdiagnose verwendet wird (und selten eingeschaltet ist) oder für die Compliance-Protokollierung (immer eingeschaltet, aber bewusst eingeschränkt). Nicht viele Leute schalten sie ein.
  2. Ich aktiviere VPC-Flow-Logs nur, wenn es einen guten Grund dafür gibt. In diesem Fall schränke ich sie auf die Netzwerkschnittstellen und den Verkehrstyp ein, den ich benötige (Akzeptieren/Ablehnen/beides).
  3. Ich schaue mir die VPC-Flussprotokolle nur an, wenn ich eine Netzwerkdiagnose durchführe. Wenn ich sie mir anschaue, dann für eine bestimmte Schnittstelle/ein bestimmtes Ereignis, also ignoriere ich alles, was ich nicht sehen muss.
  4. Ich habe die Cloudwatch-Protokollgruppe auf eine entsprechende Aufbewahrungsfrist eingestellt.

verwandte Informationen