Faça o Whitelist do tráfego de saída no VPC para alterar os IPs

Navegue suas respostas
3

Estou trabalhando com servidores do EC2 em um VPC onde gostariamos de ter o tráfego de saída mínimo possível e para que todo o tráfego de saída fosse incluído de forma explícita na lista de permissões. No entanto, com base nos grupos de segurança do EC2 ou nas ACLs da rede, parece que preciso especificar os endereços IP exatos que são permitidos. (A alternativa, permitir todos os IPs em uma determinada porta, é algo que eu gostaria de evitar.)

Um bom número de serviços de terceiros tem endereços IP listados - a New Relic, por exemplo, os relaciona em link .

No entanto, um bom número deles não - eu tenho tido problemas para encontrar o equivalente para os repositórios do Ubuntu, por exemplo, e isso é provavelmente porque eles rotacionam IPs. Também não consigo encontrar os endereços IP das APIs do Google.

Eu esperava que alguém pudesse 1) dizer que estou errado e apontar uma maneira de manter os IPs com lista de permissões em sincronia com a resolução de DNS ou 2) explicar como o tráfego de saída geralmente é filtrado de forma relativamente segura / VPC paranoico.

Você geralmente coloca apenas as portas necessárias na lista de permissões e não se preocupa com a granularidade dos IPs? Existe um software firewall / NAT popular que você usa para filtragem mais sofisticada?

Espero que esta pergunta seja concreta o suficiente - obrigado antecipadamente!

    
por Josh 10.05.2014 / 09:07

1 resposta

1

and for all outbound traffic to be explicitly whitelisted

Todo o tráfego de saída de uma instância é listado de forma explícita na AWS por padrão.

in a VPC where we'd like as little outbound traffic as possible,

Sem saber mais detalhes sobre o papel de suas instâncias para o restante de sua infraestrutura, isso é o que posso imaginar acontecendo.

Você poderia: A. use uma topologia com uma sub-rede pública e privada. Instâncias com segurança de missão crítica e / ou instâncias de computação seriam executadas na sub-rede privada e seriam acessíveis apenas a uma instância de gerenciamento em seus IPs privados.

Você poderia tornar instâncias na sua sub-rede privada acessíveis no exterior usando VPN.

C. Se esses servidores forem voltados para a Internet, você poderá proibir todas as conexões de saída para qualquer IP, exceto os serviços principais (Dovecot, NGINX, etc.) e usar o Puppet para atualizações automáticas (de um repositório baixado para o VPC pela sua instância de gerenciamento) . Dessa forma, você não precisa se preocupar com os IPs de alguns repositórios espelhados, você simplesmente proíbe todos eles até que sejam verificados e execute atualizações automáticas para o mínimo de esforço.

Espero que isso ajude (e se isso acontecer, por favor vote).

Is there a popular firewall / NAT software that you use for more sophisticated filtering?

Algumas empresas de segurança vendem suas soluções no AWS Marketplace (como bloqueadores de países) para aqueles que precisam de segurança paranoica.

    
por 10.05.2014 / 17:26

Tags

A caixa Vagrant Reembalada (vbox) não permitirá ssh após importações subseqüentes Por que meu fuso horário do Windows Server 2012 R2 mudou durante a noite?