Я работаю с серверами EC2 в VPC, где мы хотим как можно меньше исходящего трафика, и чтобы весь исходящий трафик был явно занесен в белый список. Однако, основываясь на группах безопасности EC2 или сетевых ACL, похоже, мне нужно указать точные разрешенные IP-адреса. (Альтернатива, разрешающая все IP-адреса на заданном порту, — это то, чего я хотел бы избежать.)
У большого количества сторонних сервисов IP-адреса указаны. Например, New Relic указывает их по адресуhttps://docs.newrelic.com/docs/site/networks.
Однако многие из них этого не делают — например, у меня возникли проблемы с поиском эквивалента для репозиториев Ubuntu, и это, вероятно, потому, что они меняют IP-адреса. (Кажется, я также не могу найти IP-адреса для API Google.)
Я надеялся, что кто-нибудь сможет 1) сказать мне, что я неправ, и указать способ синхронизации исходящих IP-адресов, занесенных в белый список, с их разрешением DNS, или 2) объяснить, как исходящий трафик обычно фильтруется в относительно безопасном/параноидальном VPC.
Вы обычно просто добавляете в белый список необходимые порты и не утруждаете себя детализацией IP-адресов? Есть ли популярное программное обеспечение брандмауэра/NAT, которое вы используете для более сложной фильтрации?
Надеюсь, этот вопрос был достаточно конкретным. Заранее спасибо!
решение1
и для всего исходящего трафика, который должен быть явно занесен в белый список
По умолчанию весь исходящий трафик с экземпляра явно заносится в белый список AWS.
в VPC, где мы хотели бы как можно меньше исходящего трафика,
Не имея дополнительных сведений о роли ваших экземпляров в остальной части вашей инфраструктуры, я могу себе представить, что произойдет.
Вы могли бы: A. использовать топологию с публичной и частной подсетью. Экземпляры с критически важными для миссии безопасностью и/или вычислительными экземплярами будут работать в частной подсети и будут доступны только экземпляру управления по их частным IP-адресам.
B. Вы можете сделать экземпляры в вашей частной подсети доступными извне с помощью VPN.
C. Если это серверы с выходом в Интернет, вы можете запретить все исходящие соединения с любым IP, за исключением их основных служб (Dovecot, NGINX и т. д.), и использовать Puppet для автоматизированных обновлений (из репозитория, загруженного в ваш VPC вашим управляющим экземпляром). Таким образом, вам не придется беспокоиться об IP-адресах некоторых зеркальных репозиториев, вы просто запрещаете их все до проверки и запускаете автоматизированные обновления с минимальными усилиями.
Надеюсь, это поможет (и если это так, пожалуйста, проголосуйте).
Существует ли популярное программное обеспечение брандмауэра/NAT, которое вы используете для более сложной фильтрации?
Несколько компаний, занимающихся безопасностью, продают свои решения на AWS Marketplace (например, блокировщики стран) для тех из нас, кому нужна параноидальная безопасность.