저는 아웃바운드 트래픽을 가능한 한 적게 하고 모든 아웃바운드 트래픽을 명시적으로 화이트리스트에 추가하려는 VPC에서 EC2 서버를 사용하고 있습니다. 하지만 EC2 보안 그룹이나 네트워크 ACL을 기반으로 허용되는 정확한 IP 주소를 지정해야 할 것 같습니다. (특정 포트에서 모든 IP를 허용하는 대안은 피하고 싶습니다.)
상당수의 타사 서비스에는 IP 주소가 나열되어 있습니다. 예를 들어 New Relic은 IP 주소를 다음 위치에 나열합니다.https://docs.newrelic.com/docs/site/networks.
그러나 상당수는 그렇지 않습니다. 예를 들어 Ubuntu 리포지토리에 해당하는 리포지토리를 찾는 데 어려움을 겪고 있는데 아마도 IP를 회전시키기 때문일 것입니다. (Google API의 IP 주소도 찾을 수 없는 것 같습니다.)
나는 누군가가 1) 내가 틀렸다고 말하고 송신 허용 목록에 있는 IP를 DNS 확인과 동기화하는 방법을 지적하거나 2) 상대적으로 안전하고 편집증적인 VPC에서 아웃바운드 트래픽이 일반적으로 필터링되는 방법을 설명할 수 있기를 바랐습니다. .
일반적으로 필요한 포트만 화이트리스트에 추가하고 IP를 세분화하는 데 신경 쓰지 않습니까? 보다 정교한 필터링을 위해 사용하는 널리 사용되는 방화벽/NAT 소프트웨어가 있습니까?
이 질문이 충분히 구체적이기를 바랍니다. 미리 감사드립니다!
답변1
모든 아웃바운드 트래픽을 명시적으로 화이트리스트에 추가하려면
인스턴스의 모든 아웃바운드 트래픽은 기본적으로 AWS에서 명시적으로 화이트리스트에 추가됩니다.
아웃바운드 트래픽을 가능한 한 적게 원하는 VPC에서는
나머지 인프라에 대한 인스턴스의 역할에 대한 자세한 내용을 알지 못해도 이것이 일어날 것이라고 상상할 수 있습니다.
다음을 수행할 수 있습니다. A. 공용 및 개인 서브넷이 있는 토폴로지를 사용합니다. 미션 크리티컬 보안 및/또는 컴퓨팅 인스턴스가 포함된 인스턴스는 프라이빗 서브넷에서 실행되며 프라이빗 IP의 관리 인스턴스에만 액세스할 수 있습니다.
B. VPN을 사용하여 외부에서 액세스할 수 있는 프라이빗 서브넷의 인스턴스를 만들 수 있습니다.
C. 인터넷 연결 서버인 경우 기본 서비스(Dovecot, NGINX 등)를 제외한 모든 IP에 대한 모든 아웃바운드 연결을 허용하지 않을 수 있으며 자동 업그레이드를 위해 Puppet을 사용할 수 있습니다(관리자가 VPC에 다운로드한 저장소에서). 사례). 이렇게 하면 일부 미러 저장소의 IP에 대해 걱정할 필요가 없으며 확인될 때까지 모든 IP를 금지하고 최소한의 노력으로 자동 업데이트를 실행할 수 있습니다.
도움이 되기를 바랍니다. 도움이 된다면 투표해 주세요.
보다 정교한 필터링을 위해 사용하는 널리 사용되는 방화벽/NAT 소프트웨어가 있습니까?
몇몇 보안 회사에서는 편집증적인 보안이 필요한 사람들을 위해 AWS Marketplace에서 국가 차단기와 같은 솔루션을 판매합니다.