AWS: Sub-redes versus grupos de segurança para configurar um VPC

Navegue suas respostas
4

Sou novo na AWS e tenho uma instância no EC2 que gostaria de restringir apenas aos IPs da minha rede doméstica. Qual é a diferença entre as sub-redes e grupos de segurança associados a um VPC? Pelo que entendi, é o grupo de segurança que faz as permissões de endereço IP, mas não tenho muita certeza do que a sub-rede faz.

Além disso, como a ACL da rede funciona nisso?

link

Especifico os endereços IP permitidos na origem?

EDIT: informações sobre VPN

Depois de pensar sobre isso, em vez de colocar na lista de permissões alguns endereços IP externos, queria tornar a instância do EC2 acessível apenas quando conectado a uma VPN. Por isso, mesmo os computadores da minha rede doméstica não conseguiriam acessar, a menos que usassem uma VPN. Isso exigiria que eu configurasse um servidor OpenVPN no EC2 que acessasse uma sub-rede privada?

Além disso, a instância do EC2 exigiria o acesso à Internet, isso significaria que ela está sob uma sub-rede pública?

Obrigado!

    
por Sam Shih 20.06.2017 / 23:20

2 respostas

3

Primeira pergunta - segurança

Grupos de segurança são um firewall executado no hypervisor da instância. ACLs de rede são um firewall que é executado na rede. Você pode usar um ou ambos. Em teoria, um NACL reduz a carga do host, mas é provavelmente negligenciável.

Os grupos de segurança são stateful, portanto, o tráfego de retorno é permitido automaticamente. Os NACLs exigem regras de firewall para cada direção a ser especificada, incluindo portas efêmeras. Grupos de segurança são, portanto, mais fáceis de usar.

No seu caso, sugiro que você adicione uma regra de grupo de segurança que permita o acesso do / 32 IP para cada protocolo que você precisar. O IP vai para a coluna mais à direita.

Segunda pergunta - VPN

O OpenVPN não altera o endereço IP de nada, pode ser considerado como um gateway. Seu computador se conecta à instância do EC2, quando então tem qualquer acesso que a instância do EC2 tenha. Se soubermos o que você estava tentando alcançar com uma VPN, poderemos dar um conselho melhor.

Dados seus requisitos atualizados, provavelmente usaria um servidor EC2 em uma sub-rede pública como um terminador de VPN e uma instância NAT e uma instância privada EC2 em uma sub-rede privada. Seus NACLs e grupos de segurança seriam configurados para permitir acesso à Internet de saída via NAT, mas negariam conexões de entrada que não fossem da instância de VPN.

Não tenho certeza se uma única instância pode ser o terminador da VPN e o NAT. Eu suspeito que possa.

    
por 21.06.2017 / 00:15
0

Sim, você pode adicionar um único endereço IP, por exemplo, 98.138.253.109/32 ou um bloco de IPs como 98.138.253.0/24 na coluna de origem abaixo da guia "Regras de entrada", conforme mostrado na captura de tela.

De acordo com sua segunda pergunta, se você configurar um OpenVPN na instância do EC2, ainda precisará adicionar regras de entrada para permitir que a porta VPN (UDP 1194) esteja acessível em qualquer lugar em que se conectar à instância do EC2.

Dito isto, por que você deseja configurar a VPN? Basta adicionar regras para permitir o número de redes / IPs que você conecta e que, com certeza, são finitos.

    
por 20.06.2017 / 23:51

Tags

Materiais de referência de multicast IP atuais [closed] Lista de segurança do Active Directory