Назад | Перейти на главную страницу

NACL для VPC, используемый для лучших практик веб-приложений, разрешает весь трафик или нет?

У меня есть VPC с публичной и частной подсетями. Балансировщик нагрузки обслуживает экземпляры с веб-серверами в частных подсетях. У меня есть группы безопасности, чтобы разрешить только HTTP-трафик для балансировщика и только локальный HTTP-трафик для экземпляров.

Следует ли мне также установить правила для входящего / исходящего трафика для NACL в VPC и в каждой подсети? Теперь по умолчанию, похоже, разрешен весь трафик.

Следует ли рассматривать ограничение трафика с помощью NACL в соответствии с моими потребностями (HTTP, ssh и т. Д.)? или это излишне, или не очень полезно, или слишком сложно?

Это действительно основано на мнении, но если у вас есть правильные группы безопасности, добавление NACL между общедоступными и частными подсетями - излишество.

Обычно я использую NACL в основном в двух сценариях:

  1. Разделить подсети Dev / Test / Qual / Prod, где мы не ожидаем никакого трафика между ними.
  2. Или когда это развертывание PCI / HIPAA / и т. Д., И аудитор абсолютно уверенно настаивает на наличии NACL между подсетями и не может быть уверен в обратном.

Во всех остальных случаях хорошо спроектированных групп безопасности достаточно. Где с хорошо продуманный Я имею в виду в основном:

  • SG ссылается на другие идентификаторы SG, а не на диапазоны IP (например, SG веб-сервера разрешает tcp / 443 из идентификатора SG ALB, а не из диапазона IP общедоступной подсети).
  • Задайте для исходящих правил значение Запретить, если не требуется иное.
  • И, конечно, разрешите только необходимые порты.

Таким образом, вы можете очень хорошо сдерживать и ограничивать свой сетевой трафик без использования NACL.

Надеюсь, это поможет :)