Группа безопасности AWS EC2 / ACL - запретить исходящий трафик только в одну / 24 подсети

У меня странный сценарий, и я не знаю, как его обойти.

Обычно это можно сделать с ACL подсети - однако они не отслеживают состояние. Мне нужны установленные пакеты "ответа", чтобы разрешить возврат (как обычный брандмауэр)

У меня есть публичная и частная подсеть. Публике необходимо выходить в Интернет, поэтому у меня разрешен исходящий трафик до 0.0.0.0/0, но я хочу ограничить исходящий для определенных подсетей (например, 10.100.1.0/24 и 10.150.2.0/24)

Конечно, я мог бы легко установить это в ACL, так как он позволяет «запретить», но не разрешает ответные пакеты, поскольку он не сохраняет состояние.

Единственный способ контролировать это с помощью «входящих» правил в других внутренних подсетях? Это создает гораздо больше правил для наших различных сетей, хотя было бы намного проще просто ограничить их на исходящие.

Приветствуются любые идеи, в том числе полная перестройка (это с нуля)

В приведенном ниже комментарии предлагается прояснить потребности среды, так что вот среда, которую я просил создать:

Думайте об этом как о локальной зоне и DMZ:

Экземпляры в публичной подсети 10.200.0.0/24 не могут положить начало новые исходящие подключения в частные подсети 10.100.0 / 24.
Экземпляры в частной подсети 10.100.0.0/24 могут положить начало новые исходящие соединения в публичную подсеть (к ssh, коду развертывания и т. д.).
Общедоступная подсеть должна свободно инициировать исходящий трафик в Интернет
Из-за ограничений ACL, если я заблокирую исходящий из общедоступного> частного, он не будет разрешать возвратные пакеты (поскольку он не отслеживает состояние)

Прямо сейчас единственное, о чем я могу думать, - это полагаться на iptables и брандмауэр Windows в самих экземплярах, что возможно, но намного сложнее управлять.

Другая идея - развернуть программный брандмауэр в EC2 (подробнее $$), который может разрешать / запрещать трафик с отслеживанием состояния. Еще одна машина в управлении.

Другая идея состоит в том, чтобы группа безопасности запрещала входящий трафик из общедоступной подсети в частную подсеть, что должно быть разрешено для всех экземпляров в частной подсети. Проблема в том, что в группах безопасности нет запрещающих правил. Опять не идеально.

Либо наличие ACL с отслеживанием состояния, либо разрешение запрещающих правил для групп безопасности полностью решит проблему. К сожалению, ни то, ни другое невозможно в рамках текущей инфраструктуры AWS.

Решение кажется очень простым.

Экземпляры в общедоступной подсети 10.200.0.0/24 не могут инициировать новые исходящие соединения в частные подсети 10.100.0 / 24.

Они уже не могут, если вы не создали правила для входящих подключений в группах безопасности на экземплярах в частных подсетях, чтобы разрешить это.

Если да, то удалите эти правила, потому что их там быть не должно.

Единственный трафик, разрешенный входящими правилами для групп безопасности для экземпляров в частной подсети, должен быть трафиком, который должен их достичь. Не существует действительного оправдания «простоты администрирования» для работы сети с мягким «жутким» центром, где все разрешено по умолчанию, особенно когда спецификация источника для правил группы безопасности может быть либо идентификаторами группы безопасности, либо диапазонами IP-адресов. Разрешить доступ откуда должен быть разрешен доступ, и не более того.