我正在 VPC 中使用 EC2 伺服器,我們希望出站流量盡可能少,並且所有出站流量都明確列入白名單。但是,根據 EC2 安全群組或網路 ACL,我似乎需要指定允許的確切 IP 位址。 (我想避免另一種方法,即允許給定連接埠上的所有 IP。)
許多 3rd 方服務都列出了 IP 位址 - 例如,New Relic 將其列出在https://docs.newrelic.com/docs/site/networks。
然而,其中很多都沒有 - 例如,我一直很難找到 Ubuntu 存儲庫的等效項,這可能是因為它們輪換 IP。 (我似乎也找不到 Google API 的 IP 位址。)
我希望有人能夠 1) 告訴我我錯了,並指出一種使出口白名單 IP 與其 DNS 解析保持同步的方法,或者 2) 解釋通常如何在相對安全/偏執的 VPC 中過濾出站流量。
您通常是否只將所需的連接埠列入白名單,而不費心去了解 IP 的粒度?是否有流行的防火牆/NAT 軟體可用於更複雜的過濾?
我希望這個問題足夠具體 - 提前致謝!
答案1
並將所有出站流量明確列入白名單
預設情況下,來自執行個體的所有出站流量均明確列入 AWS 白名單。
在我們希望出站流量盡可能少的 VPC 中,
在不了解有關實例對於基礎設施其餘部分的作用的更多詳細資訊的情況下,我可以預見會發生這種情況。
您可以: A. 使用具有公用和私有子網路的拓樸。具有關鍵任務安全性和/或計算實例的實例將在私有子網路中運行,並且只能由其私人 IP 上的管理實例存取。
B. 您可以使用 VPN 從外部存取私有子網路上的執行個體。
C. 如果這些是面向Internet 的伺服器,您可以禁止除其主要服務(Dovecot、NGINX 等)之外的任何IP 的所有出站連接,並使用Puppet 進行自動升級(從由您的管理層下載到您的VPC 的儲存庫)實例)。這樣,您就無需擔心某些鏡像儲存庫的 IP,只需在驗證之前禁止所有鏡像儲存庫,並以最小的工作量執行自動更新。
希望這會有所幫助(如果有幫助,請投票)。
是否有流行的防火牆/NAT 軟體可用於更複雜的過濾?
一些安全公司在 AWS Marketplace 上為我們這些需要偏執安全的人出售他們的解決方案(例如國家/地區攔截器)。