AWS의 NAT 게이트웨이에 SG 연결

tag-icon tag-icon amazon-web-services security firewall
AWS의 NAT 게이트웨이에 SG 연결

AWS의 NAT 게이트웨이 네트워크 인터페이스에 상태 저장 보안 그룹을 연결하려면 어떻게 해야 합니까? 수동으로 추가하려고 하면 "지정된 리소스에 액세스할 수 있는 권한이 없습니다."라는 오류가 발생합니다. 포털에서.

기본적으로 NAT 게이트웨이의 인터페이스에는 보안 그룹이 연결되어 있지 않으므로 VPC 흐름 로그에는 인바운드 인터넷 트래픽이 허용된 것으로 표시됩니다. 실제 트래픽이 NAT 게이트웨이에서 허용되지 않고 삭제된다는 것을 알고 있지만 로그가 복잡해지기 때문에 여전히 매우 짜증스럽습니다.

여기서 NAT 게이트웨이의 개인 IP는 10.0.1.226이며 공용 인터넷에서 검색되는 것을 볼 수 있습니다.

version  account-id    interface-id           srcaddr          dstaddr     srcport  dstport  protocol  packets  bytes  start       end         action  log-status
2        770604943877  eni-0d9c6092f69e85b93  162.142.125.159  10.0.1.226  54995    20121    6         1        44     1631843704  1631843705  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  192.241.207.249  10.0.1.226  37490    8098     6         1        40     1631843722  1631843724  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  89.248.165.59    10.0.1.226  52915    5017     6         1        40     1631843709  1631843741  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  45.135.232.119   10.0.1.226  43453    8737     6         1        40     1631843761  1631843762  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  162.142.125.149  10.0.1.226  4078     9010     6         1        44     1631843780  1631843782  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  89.248.165.204   10.0.1.226  53823    5354     6         1        40     1631843789  1631843799  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  192.241.215.86   10.0.1.226  43709    137      17        1        78     1631843789  1631843799  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  162.142.125.146  10.0.1.226  14176    18045    6         1        44     1631843739  1631843790  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  162.142.125.150  10.0.1.226  48059    21381    6         1        44     1631843739  1631843790  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  185.191.34.207   10.0.1.226  59477    36       6         1        40     1631843739  1631843790  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  91.132.58.183    10.0.1.226  5106     5162     17        1        443    1631843739  1631843790  ACCEPT  OK

인터넷의 인바운드 트래픽을 거부하기 위해 네트워크 ACL을 추가하면 VPC에서 시작한 아웃바운드 인터넷 액세스에 대한 응답이 허용되지 않습니다.

관련된:https://aws.amazon.com/premiumsupport/knowledge-center/vpc-analyze-inbound-traffic-nat-gateway/

답변1

귀하의 질문이 약간 혼란 스럽습니다. "NSG"라고 하면 "보안 그룹"을 의미한다고 가정합니다. Azure에는 보안 그룹으로 AWS라는 "네트워크 보안 그룹"이 있습니다. 또한 달성하려는 목표가 무엇인지 말하지 않고 작동하지 않는 것을 말하여 도움을 주기가 어렵습니다. 몇 가지 일반적인 생각을 말씀드리지만, 이것이 옳지 않다면 질문을 편집하여 달성하려는 것이 무엇인지 말하고 약어를 수정하십시오.

NAT 게이트웨이에는 보안 그룹이 없습니다. 보안 그룹은 EC2 인스턴스와 같이 ENI 주변의 방화벽입니다. 인바운드 트래픽에 대해 비용을 지불하지 않으므로 특정 문제/사고에 대한 보안 조사 외에 NAT 게이트웨이에서 거부하는 내용에 대해 신경쓰지 않아도 됩니다. NAT 게이트웨이에는 아무것도 들어오지 않습니다. 그것이 바로 NAT 게이트웨이의 목적입니다.

주요 문제는 NAT 게이트웨이가 인터넷에서 거부하는 트래픽에 대한 VPC 흐름 로그의 트래픽 거부인 것 같습니다. 나의 주요 조언은 이를 무시하라는 것입니다. 언젠가는 높은 보안 환경에서 포렌식 목적으로 유용할 수도 있고, 필요하지 않은 경우 VPC 흐름 로그를 끄는 것입니다. 진단을 위해 VPC 흐름 로그를 사용하고 PCI/CIS/유사 규정 준수가 필요한 로그 용어에만 남겨 둡니다. 해당 로그에는 항상 거부 트래픽이 많이 있을 것입니다. 한때 인터넷에 접속할 수 없는 내부 서브넷에서 거부를 추적하는 데 꽤 많은 시간을 보냈지만, 어디든 도달하기 전에 시간이 부족했습니다. 그냥 놔뒀어요.

범위를 변경할 수 있습니다.VPC 흐름 로그. 전체 VPC에 대한 흐름 로그를 생성하는 대신 프라이빗 서브넷에 대해서만 흐름 로그를 생성하고 NAT 게이트웨이가 퍼블릭 서브넷에 있는지 확인하세요. 그렇게 하면 인터넷의 거부 트래픽을 기록하지 마세요.

ACCEPT, REJECT 또는 BOTH 유형의 트래픽을 기록하도록 흐름 로그를 구성할 수도 있습니다.

귀하의 의견을 요약하고 해결하려면:

  1. VPC 흐름 로그는 네트워크 진단(거의 켜지지 않음) 또는 규정 준수 로깅(항상 켜져 있지만 의도적으로 범위 지정)에 사용되는 도구입니다. 켜는 사람은 많지 않습니다.
  2. 나는 정당한 이유가 있을 때만 VPC 흐름 로그를 활성화합니다. 그렇게 할 때 필요한 네트워크 인터페이스와 트래픽 유형(수락/거부/둘 다)으로 범위를 지정합니다.
  3. 저는 네트워크 진단을 수행할 때만 VPC 흐름 로그를 봅니다. 내가 볼 때 그것은 특정 인터페이스/이벤트에 대한 것이므로 볼 필요가 없는 모든 것을 무시합니다.
  4. Cloudwatch 로그 그룹을 적절한 보존 기간으로 설정했습니다.

관련 정보