Adjunte SG a la puerta de enlace NAT en AWS

tag-icon tag-icon amazon-web-services security firewall
Adjunte SG a la puerta de enlace NAT en AWS

¿Cómo puedo adjuntar un grupo de seguridad con estado a la interfaz de red de una puerta de enlace NAT en AWS? Si intento agregarlo manualmente, aparece el siguiente error: "No tienes permiso para acceder al recurso especificado". en el portal.

De forma predeterminada, la interfaz de la puerta de enlace NAT no tiene ningún grupo de seguridad asociado, por lo que los registros de flujo de VPC muestran el tráfico de Internet entrante como aceptado. Sé que la puerta de enlace NAT no acepta el tráfico real y se descarta, pero esto sigue siendo muy molesto ya que satura los registros.

Aquí, la IP privada de la puerta de enlace NAT es 10.0.1.226 y puede ver que está siendo investigada desde la Internet pública:

version  account-id    interface-id           srcaddr          dstaddr     srcport  dstport  protocol  packets  bytes  start       end         action  log-status
2        770604943877  eni-0d9c6092f69e85b93  162.142.125.159  10.0.1.226  54995    20121    6         1        44     1631843704  1631843705  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  192.241.207.249  10.0.1.226  37490    8098     6         1        40     1631843722  1631843724  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  89.248.165.59    10.0.1.226  52915    5017     6         1        40     1631843709  1631843741  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  45.135.232.119   10.0.1.226  43453    8737     6         1        40     1631843761  1631843762  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  162.142.125.149  10.0.1.226  4078     9010     6         1        44     1631843780  1631843782  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  89.248.165.204   10.0.1.226  53823    5354     6         1        40     1631843789  1631843799  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  192.241.215.86   10.0.1.226  43709    137      17        1        78     1631843789  1631843799  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  162.142.125.146  10.0.1.226  14176    18045    6         1        44     1631843739  1631843790  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  162.142.125.150  10.0.1.226  48059    21381    6         1        44     1631843739  1631843790  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  185.191.34.207   10.0.1.226  59477    36       6         1        40     1631843739  1631843790  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  91.132.58.183    10.0.1.226  5106     5162     17        1        443    1631843739  1631843790  ACCEPT  OK

Si agrego ACL de red para denegar el tráfico entrante desde Internet, evitará que se acepten respuestas al acceso saliente a Internet iniciado por VPC.

Relacionado:https://aws.amazon.com/premiumsupport/knowledge-center/vpc-analyze-inbound-traffic-nat-gateway/

Respuesta1

Encuentro tu pregunta un poco confusa. Cuando dice "NSG", supongo que se refiere a "Grupo de seguridad". Azure tiene "Grupos de seguridad de red", AWS como Grupos de seguridad. Además, no ha dicho lo que está tratando de lograr, ha dicho lo que no funciona, lo que dificulta ayudarlo. Le daré algunas ideas generales, pero si no son correctas, edite su pregunta para decir lo que está tratando de lograr y corrija las abreviaturas.

Las puertas de enlace NAT no tienen un grupo de seguridad. Un grupo de seguridad es un firewall alrededor de una ENI, como en una instancia EC2. No paga por el tráfico entrante, por lo que no debería preocuparse realmente por lo que rechaza la puerta de enlace NAT, excepto por las investigaciones de seguridad de problemas/incidentes específicos. No viene nada en una puerta de enlace NAT, para eso están.

Parece que su problema principal es el tráfico denegado en los registros de flujo de VPC, para el tráfico que la puerta de enlace NAT rechaza de Internet. Mi principal consejo es ignorarlo, ya que tal vez algún día sea útil para fines forenses en un entorno de alta seguridad, o desactivar los registros de flujo de VPC si no los necesita. Utilizo registros de flujo de VPC para diagnósticos y solo los dejo en el plazo de registro donde se requiere cumplimiento PCI/CIS/similar. Siempre habrá mucho tráfico rechazado en esos registros. Una vez pasé bastante tiempo intentando localizar rechazos en una subred interna sin acceso a Internet, pero se me acabó el tiempo antes de llegar a ninguna parte. Simplemente lo dejé pasar.

Puede cambiar el alcance de laRegistros de flujo de VPC. En lugar de crear un registro de flujo para toda la VPC, cree un registro de flujo solo para sus subredes privadas y asegúrese de que su puerta de enlace NAT esté en la subred pública. De esa manera no registre el tráfico denegado de Internet.

También puede configurar registros de flujo para registrar ACEPTAR, RECHAZAR o AMBOS tipos de tráfico.

Para resumir y abordar su comentario:

  1. Los registros de flujo de VPC son una herramienta que se utiliza para diagnósticos de red (y rara vez se activan) o para registros de cumplimiento (siempre activados pero con un alcance deliberado). No mucha gente los enciende.
  2. Solo activo los registros de flujo de VPC cuando tengo una buena razón para hacerlo. Cuando lo hago, los acoto a las interfaces de red y al tipo de tráfico que necesito (aceptar/rechazar/ambos).
  3. Solo miro los registros de flujo de VPC cuando hago diagnósticos de red. Cuando los miro es para una interfaz/evento específico, por lo que ignoro todo lo que no necesito ver.
  4. Tengo el grupo de registros de Cloudwatch configurado en un período de retención adecuado.

información relacionada