Estoy trabajando con servidores EC2 en una VPC donde nos gustaría tener la menor cantidad de tráfico saliente posible y que todo el tráfico saliente esté explícitamente incluido en la lista blanca. Sin embargo, según los grupos de seguridad EC2 o las ACL de red, parece que necesito especificar las direcciones IP exactas permitidas. (La alternativa, permitir todas las IP en un puerto determinado, es algo que me gustaría evitar).
Un buen número de servicios de terceros tienen direcciones IP enumeradas; New Relic, por ejemplo, las enumera enhttps://docs.newrelic.com/docs/site/networks.
Sin embargo, un buen número de ellos no lo hacen; he tenido problemas para encontrar el equivalente para los repositorios de Ubuntu, por ejemplo, y probablemente se deba a que rotan las IP. (Parece que tampoco puedo encontrar las direcciones IP de las API de Google).
Esperaba que alguien pudiera 1) decirme que estoy equivocado y señalar una forma de mantener sincronizadas las IP de salida incluidas en la lista blanca con su resolución DNS, o 2) explicar cómo el tráfico saliente generalmente se filtra en una VPC relativamente segura/paranoica. .
¿Por lo general simplemente incluye en la lista blanca los puertos necesarios y no se molesta en analizar la granularidad de las IP? ¿Existe algún software de firewall/NAT popular que utilice para un filtrado más sofisticado?
Espero que esta pregunta haya sido lo suficientemente concreta. ¡Gracias de antemano!
Respuesta1
y que todo el tráfico saliente esté explícitamente incluido en la lista blanca
Todo el tráfico saliente de una instancia se incluye explícitamente en la lista blanca de AWS de forma predeterminada.
en una VPC donde nos gustaría tener el menor tráfico saliente posible,
Sin conocer más detalles sobre el papel de sus instancias para el resto de su infraestructura, esto es lo que imagino que sucederá.
Podría: A. utilizar una topología con una subred pública y privada. Las instancias con seguridad de misión crítica y/o instancias informáticas se ejecutarían en la subred privada y solo serían accesibles para una instancia de administración en sus IP privadas.
B. Puede hacer que las instancias de su subred privada sean accesibles desde el exterior mediante VPN.
C. Si se trata de servidores con acceso a Internet, puede no permitir todas las conexiones salientes a cualquier IP, excepto sus servicios principales (Dovecot, NGINX, etc.), y usar Puppet para actualizaciones automáticas (desde un repositorio descargado a su VPC por su administrador). instancia). De esta manera, no tendrá que preocuparse por las IP de algunos repositorios espejo, simplemente prohibirá todas ellas hasta que se verifiquen y ejecutará actualizaciones automáticas con un esfuerzo mínimo.
Espero que esto ayude (y si es así, vote).
¿Existe algún software de firewall/NAT popular que utilice para un filtrado más sofisticado?
Un par de empresas de seguridad venden sus soluciones en AWS Marketplace (como bloqueadores de países) para aquellos de nosotros que necesitamos seguridad paranoica.