Я работаю с серверами EC2 в VPC, где мы хотели бы, чтобы исходящий трафик был как можно меньше, и чтобы весь исходящий трафик был явно включен в белый список. Однако, исходя из групп безопасности EC2 или сетевых ACL, похоже, что мне нужно указать точные разрешенные IP-адреса. (Я бы хотел избежать альтернативы, разрешающей все IP-адреса на заданном порту.)
У большого количества сторонних сервисов есть IP-адреса в списке - например, New Relic перечисляет их на https://docs.newrelic.com/docs/site/networks.
Однако многие из них этого не делают - у меня возникли проблемы с поиском эквивалента, например, для репозиториев Ubuntu, и это, вероятно, потому, что они меняют IP-адреса. (Я тоже не могу найти IP-адреса для API Google.)
Я надеялся, что кто-то сможет либо 1) сказать мне, что я ошибаюсь, и указать способ синхронизации выходных IP-адресов из белого списка с их разрешением DNS, или 2) объяснить, как исходящий трафик обычно фильтруется в относительно безопасном / параноидальном VPC. .
Вы обычно просто вносите в белый список необходимые порты и не беспокоитесь о детализации IP-адресов? Есть ли популярное программное обеспечение межсетевого экрана / NAT, которое вы используете для более сложной фильтрации?
Надеюсь, этот вопрос был достаточно конкретным - заранее спасибо!
и чтобы весь исходящий трафик был явно занесен в белый список
По умолчанию весь исходящий трафик от инстанса явно заносится в белый список AWS.
в VPC, где нам нужно как можно меньше исходящего трафика,
Не зная каких-либо подробностей о роли ваших экземпляров для остальной инфраструктуры, я могу себе представить, что это произойдет.
Вы можете: A. использовать топологию с общедоступной и частной подсетью. Экземпляры с критически важной безопасностью и / или вычислительные экземпляры будут работать в частной подсети и будут доступны только экземпляру управления на их частных IP-адресах.
Б. Вы можете сделать экземпляры в своей частной подсети доступными извне с помощью VPN.
C. Если это серверы с выходом в Интернет, вы можете запретить все исходящие подключения к любому IP-адресу, за исключением их основных служб (Dovecot, NGINX и т. Д.), И использовать Puppet для автоматических обновлений (из репозитория, загруженного в ваш VPC вашим руководством. пример). Таким образом, вам не нужно беспокоиться об IP-адресах некоторых зеркальных репозиториев, вы просто запрещаете их все до тех пор, пока они не будут проверены, и запускаете автоматические обновления с минимальными усилиями.
Надеюсь, это поможет (и если да, проголосуйте).
Есть ли популярное программное обеспечение межсетевого экрана / NAT, которое вы используете для более сложной фильтрации?
Несколько компаний по обеспечению безопасности продают свои решения на AWS Marketplace (например, блокираторы стран) для тех из нас, кто нуждается в параноидальной безопасности.