Anexe SG ao gateway NAT na AWS

tag-icon tag-icon amazon-web-services security firewall
Anexe SG ao gateway NAT na AWS

Como posso anexar um grupo de segurança com estado à interface de rede de um gateway NAT na AWS? Se tento adicioná-lo manualmente, recebo o seguinte erro: "Você não tem permissão para acessar o recurso especificado." no portal.

Por padrão, a interface do gateway NAT não tem nenhum grupo de segurança anexado, portanto, os logs de fluxo da VPC mostram o tráfego de entrada da Internet como aceito. Eu sei que o tráfego real não é aceito pelo gateway NAT e é descartado, mas isso ainda é muito irritante, pois sobrecarrega os logs.

Aqui, o IP privado do gateway NAT é 10.0.1.226 e você pode ver que ele está sendo investigado na Internet pública:

version  account-id    interface-id           srcaddr          dstaddr     srcport  dstport  protocol  packets  bytes  start       end         action  log-status
2        770604943877  eni-0d9c6092f69e85b93  162.142.125.159  10.0.1.226  54995    20121    6         1        44     1631843704  1631843705  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  192.241.207.249  10.0.1.226  37490    8098     6         1        40     1631843722  1631843724  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  89.248.165.59    10.0.1.226  52915    5017     6         1        40     1631843709  1631843741  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  45.135.232.119   10.0.1.226  43453    8737     6         1        40     1631843761  1631843762  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  162.142.125.149  10.0.1.226  4078     9010     6         1        44     1631843780  1631843782  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  89.248.165.204   10.0.1.226  53823    5354     6         1        40     1631843789  1631843799  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  192.241.215.86   10.0.1.226  43709    137      17        1        78     1631843789  1631843799  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  162.142.125.146  10.0.1.226  14176    18045    6         1        44     1631843739  1631843790  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  162.142.125.150  10.0.1.226  48059    21381    6         1        44     1631843739  1631843790  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  185.191.34.207   10.0.1.226  59477    36       6         1        40     1631843739  1631843790  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  91.132.58.183    10.0.1.226  5106     5162     17        1        443    1631843739  1631843790  ACCEPT  OK

Se eu adicionar ACLs de rede para negar o tráfego de entrada da Internet, isso impedirá que as respostas ao acesso de saída à Internet iniciado por VPC sejam aceitas.

Relacionado:https://aws.amazon.com/premiumsupport/knowledge-center/vpc-analyze-inbound-traffic-nat-gateway/

Responder1

Estou achando sua pergunta um pouco confusa. Quando você diz "NSG", presumo que queira dizer "Grupo de Segurança". O Azure possui "Grupos de Segurança de Rede", AWS como Grupos de Segurança. Além disso, você não disse o que está tentando alcançar, disse o que não está funcionando, o que dificulta ajudá-lo. Darei algumas ideias gerais, mas se não estiverem corretas, edite sua pergunta para dizer o que você está tentando alcançar e corrija as abreviações.

Os gateways NAT não possuem um grupo de segurança. Um grupo de segurança é um firewall em torno de uma ENI, como em uma instância EC2. Você não paga pelo tráfego de entrada, portanto não deve se preocupar com o que é rejeitado pelo gateway NAT, exceto para investigações de segurança de problemas/incidentes específicos. Nada vem em um gateway NAT, é para isso que servem.

Parece que seu principal problema é negar o tráfego nos logs de fluxo da VPC, para o tráfego que o gateway NAT rejeita da Internet. Meu principal conselho é ignorá-lo, pois talvez um dia seja útil para fins forenses em um ambiente de alta segurança, ou desligue os logs de fluxo de VPC se não precisar deles. Eu uso logs de fluxo de VPC para diagnóstico e só os deixo no termo de log quando conformidade com PCI/CIS/semelhante é necessária. Sempre haverá muito tráfego rejeitado nesses logs. Certa vez, passei um bom tempo tentando rastrear rejeições em uma sub-rede interna sem acesso à Internet, mas fiquei sem tempo antes de chegar a algum lugar. Eu simplesmente deixei passar.

Você pode alterar o escopo doRegistros de fluxo de VPC. Em vez de criar um log de fluxo para toda a VPC, você cria um log de fluxo apenas para suas sub-redes privadas e certifica-se de que seu gateway NAT esteja na sub-rede pública. Dessa forma, não registre o tráfego negado da Internet.

Você também pode configurar logs de fluxo para registrar tipos de tráfego ACEITAR, REJEITAR ou AMBOS.

Para resumir e abordar seu comentário:

  1. Os logs de fluxo de VPC são uma ferramenta usada para diagnóstico de rede (e raramente ativada) ou para registro de conformidade (sempre ativada, mas com escopo deliberado). Poucas pessoas os ativam.
  2. Eu só ativo os logs de fluxo de VPC quando tenho um bom motivo para isso. Quando faço isso, defino as interfaces de rede e o tipo de tráfego necessário (aceitar/rejeitar/ambos).
  3. Eu só vejo os logs de fluxo da VPC quando estou fazendo diagnósticos de rede. Quando estou olhando para eles, é para uma interface/evento específico, então ignoro tudo que não preciso ver.
  4. Tenho o Cloudwatch Log Group definido para um período de retenção apropriado.

informação relacionada