Estou trabalhando com servidores EC2 em uma VPC onde gostaríamos de ter o mínimo de tráfego de saída possível e que todo o tráfego de saída fosse explicitamente colocado na lista de permissões. No entanto, com base em grupos de segurança EC2 ou ACLs de rede, parece que preciso especificar os endereços IP exatos que são permitidos. (A alternativa, permitir todos os IPs em uma determinada porta, é algo que eu gostaria de evitar.)
Um bom número de serviços de terceiros tem endereços IP listados - a New Relic, por exemplo, os lista emhttps://docs.newrelic.com/docs/site/networks.
No entanto, um bom número deles não o faz - tenho tido problemas para encontrar o equivalente para repositórios do Ubuntu, por exemplo, e isso provavelmente ocorre porque eles alternam IPs. (Também não consigo encontrar os endereços IP das APIs do Google.)
Eu esperava que alguém pudesse 1) me dizer que estou errado e apontar uma maneira de manter os IPs da lista de permissões de saída sincronizados com sua resolução de DNS ou 2) explicar como o tráfego de saída geralmente é filtrado em uma VPC relativamente segura/paranóica .
Você normalmente apenas coloca na lista de permissões as portas necessárias e não se preocupa em ir para a granularidade dos IPs? Existe um software de firewall/NAT popular que você usa para uma filtragem mais sofisticada?
Espero que esta pergunta tenha sido suficientemente concreta - desde já agradeço!
Responder1
e para que todo o tráfego de saída seja explicitamente colocado na lista de permissões
Todo o tráfego de saída de uma instância é explicitamente colocado na lista de permissões da AWS por padrão.
em uma VPC onde gostaríamos de ter o mínimo de tráfego de saída possível,
Sem saber mais detalhes sobre o papel das suas instâncias para o restante da sua infraestrutura, é isso que posso imaginar acontecendo.
Você poderia: A. usar uma topologia com uma sub-rede pública e privada. Instâncias com segurança de missão crítica e/ou instâncias de computação seriam executadas na sub-rede privada e só seriam acessíveis a uma instância de gerenciamento em seus IPs privados.
B. Você pode tornar as instâncias da sua sub-rede privada acessíveis externamente usando VPN.
C. Se estes forem servidores voltados para a Internet, você poderá proibir todas as conexões de saída para qualquer IP, exceto para seus serviços primários (Dovecot, NGINX etc.), e usar o Puppet para atualizações automatizadas (de um repositório baixado para seu VPC por seu gerenciamento instância). Dessa forma, você não precisaria se preocupar com os IPs de alguns repositórios espelho, simplesmente proibiria todos eles até serem verificados e executaria atualizações automatizadas com o mínimo de esforço.
Espero que isso ajude (e se ajudar, vote).
Existe um software de firewall/NAT popular que você usa para uma filtragem mais sofisticada?
Algumas empresas de segurança vendem suas soluções no AWS Marketplace (como bloqueadores de países) para aqueles de nós que precisam de segurança paranóica.