Подключите SG к шлюзу NAT на AWS

tag-icon tag-icon amazon-web-services security firewall
Подключите SG к шлюзу NAT на AWS

Как прикрепить группу безопасности с отслеживанием состояния к сетевому интерфейсу шлюза NAT в AWS? Если я попытаюсь добавить ее вручную, то получу следующую ошибку: «У вас нет разрешения на доступ к указанному ресурсу». на портале.

По умолчанию интерфейс шлюза NAT не имеет прикрепленной группы безопасности, поэтому журналы потока VPC показывают входящий интернет-трафик как принятый. Я знаю, что фактический трафик не принимается шлюзом NAT и отбрасывается, но это все равно очень раздражает, так как засоряет журналы.

Здесь частный IP-адрес шлюза NAT — 10.0.1.226, и вы можете видеть, что он зондируется из публичного Интернета:

version  account-id    interface-id           srcaddr          dstaddr     srcport  dstport  protocol  packets  bytes  start       end         action  log-status
2        770604943877  eni-0d9c6092f69e85b93  162.142.125.159  10.0.1.226  54995    20121    6         1        44     1631843704  1631843705  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  192.241.207.249  10.0.1.226  37490    8098     6         1        40     1631843722  1631843724  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  89.248.165.59    10.0.1.226  52915    5017     6         1        40     1631843709  1631843741  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  45.135.232.119   10.0.1.226  43453    8737     6         1        40     1631843761  1631843762  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  162.142.125.149  10.0.1.226  4078     9010     6         1        44     1631843780  1631843782  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  89.248.165.204   10.0.1.226  53823    5354     6         1        40     1631843789  1631843799  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  192.241.215.86   10.0.1.226  43709    137      17        1        78     1631843789  1631843799  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  162.142.125.146  10.0.1.226  14176    18045    6         1        44     1631843739  1631843790  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  162.142.125.150  10.0.1.226  48059    21381    6         1        44     1631843739  1631843790  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  185.191.34.207   10.0.1.226  59477    36       6         1        40     1631843739  1631843790  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  91.132.58.183    10.0.1.226  5106     5162     17        1        443    1631843739  1631843790  ACCEPT  OK

Если я добавлю сетевые списки контроля доступа для запрета входящего трафика из Интернета, это помешает принимать ответы на исходящий доступ в Интернет, инициированный VPC.

Связанный:https://aws.amazon.com/premiumsupport/knowledge-center/vpc-analyze-inbound-traffic-nat-gateway/

решение1

Ваш вопрос немного сбивает меня с толку. Когда вы говорите «NSG», я предполагаю, что вы имеете в виду «Security Group». В Azure есть «Network Security Groups», в AWS — Security Groups. Кроме того, вы не сказали, чего пытаетесь добиться, вы сказали, что не работает, что затрудняет помощь. Я дам вам несколько общих мыслей, но если они неверны, пожалуйста, отредактируйте свой вопрос, чтобы указать, чего вы пытаетесь добиться, и исправьте сокращения.

У шлюзов NAT нет группы безопасности. Группа безопасности — это брандмауэр вокруг ENI, например, на экземпляре EC2. Вы не платите за входящий трафик, поэтому вас не должно волновать, что отклоняется шлюзом NAT, за исключением расследований безопасности конкретных проблем/инцидентов. В шлюз NAT ничего не приходит, для этого они и нужны.

Похоже, что ваша главная проблема — это трафик отклонения в журналах потока VPC, для трафика, который шлюз NAT отклоняет из Интернета. Мой главный совет — игнорировать его, так как, возможно, он когда-нибудь пригодится для криминалистических целей в среде с высоким уровнем безопасности, или отключить журналы потока VPC, если они вам не нужны. Я использую журналы потока VPC для диагностики и оставляю их только в журнале, где требуется соответствие PCI / CIS / аналогичным стандартам. В этих журналах всегда будет много трафика отклонения. Однажды я потратил довольно много времени, пытаясь отследить отклонения во внутренней подсети без доступа в Интернет, но у меня закончилось время, прежде чем я смог что-либо сделать. Я просто оставил это.

Вы можете изменить область действияЖурналы потоков VPC. Вместо создания журнала потока для всего VPC вы создаете журнал потока только для своих частных подсетей и убедитесь, что ваш шлюз NAT находится в публичной подсети. Таким образом, не регистрируется трафик deny из интернета.

Вы также можете настроить журналы потоков для регистрации типов трафика ACCEPT, REJECT или ОБА.

Подводя итог и отвечая на ваш комментарий:

  1. Журналы потоков VPC — это инструмент, который используется для диагностики сети (и редко включается) или для регистрации соответствия (всегда включен, но намеренно ограничен). Немногие их включают.
  2. Я включаю VPC Flow Logs только тогда, когда у меня есть на то веская причина. Когда я это делаю, я ограничиваю их сетевыми интерфейсами и типом трафика, которые мне нужны (принять / отклонить / и то, и другое).
  3. Я просматриваю журналы потоков VPC только тогда, когда провожу диагностику сети. Когда я их просматриваю, это касается определенного интерфейса/события, поэтому я игнорирую все, что мне не нужно видеть.
  4. Я установил для группы журналов Cloudwatch соответствующий срок хранения.

Связанный контент