Como posso colocar na lista branca o tráfego de sub-rede privada do S3 para o S3 na instância NAT de um EC2 VPC?

2

Estou pesquisando opções de implantação de alta segurança compatíveis com a privacidade para o AWS VPC.

Estou procurando um método para aumentar o tráfego de saída das sub-redes privadas na instância do NAT. Por exemplo, como eu poderia limitar o tráfego de saída de trás do NAT para permitir somente chamadas para o AWS S3? Estou planejando criar um NAT personalizado AMI usando Shorewall conduzido por Ansible e Packer.

Parece que não há uma lista sólida de endereços IP S3, portanto, a listagem branca por IP está fora. Lista branca por protocolo não é suficiente para isso; os pontos de extremidade devem ser limitados ao espaço da API da AWS, pelo menos. A listagem branca por nome de host certamente não funcionará além do primeiro IP na primeira consulta DNS.

As opções parecem ser:

  1. Tente reunir uma lista de IPs.
  2. Peça uma lista à AWS.
  3. Talvez eu possa usar o HAProxy ou similar para fazer um proxy reverso para o S3, ignorando o NAT tradicional. Supondo que o único tráfego de saída necessário de dentro das sub-redes privadas seja baseado em HTTP (S), talvez isso funcione e um limite para o (s) nome (s) de host do S3 possa ser feito? Coisas como atualizações de pacotes e NTP podem ser feitas com um ponto de teste (instância) localizado na sub-rede pública, suponho.

Por favor, deixe-me saber se você gostaria de mais esclarecimentos sobre minhas necessidades.

Você sabe como permitir somente o tráfego para o S3 (e dependências) de dentro das sub-redes privadas de um EC2 VPC?

Obrigado Josué

P.S. Ah sim ... Se pode ser altamente disponível, isso seria ótimo também. Estou planejando uma instância "NAT" ou "NAT-like" em cada uma das três zonas de uma única região. Eu estava planejando usar um grupo de escalonamento automático para manter essas três instâncias vivas, mas talvez você tenha outra idéia. Originalmente, eu usaria três ENIs, uma por AZ, que flutuam via Corosync & Marcapasso para o NAT. Eu estava esperando para contornar a necessidade de atualizar as tabelas de rotas sobre a falha de NAT em uma zona, roteando para o ENI.

/ endblabbing

Links relevantes:

link EC2 VPC sem NAT?

    
por josh-wrale 07.11.2013 / 05:44

1 resposta

1

Em vez da lista branca de tráfego do S3 na instância do NAT, sugiro que você configure os pontos de extremidade do V3 para o S3:

Dessa forma, seus nós do EC2 podem acessar o S3 diretamente na rede privada da VPC, em vez de passar pelo NAT.

Se você ainda quiser uma lista de IPs usados pelo S3, você pode usar o comando AWS CLI describe-prefix-lists :

aws ec2 describe-prefix-lists

que dará uma saída como

{
    "PrefixLists": [
        {
            "PrefixListName": "com.amazonaws.eu-west-1.s3", 
            "Cidrs": [
                "54.231.128.0/19"
            ], 
            "PrefixListId": "pl-6da54004"
        }
    ]
}

A lista é para a região usada pelo AWS CLI. Minha amostra mostra a saída atual para eu-west-1 . Você pode especificar uma região diferente passando o parâmetro --region , por exemplo, aws --region us-east-1 ec2 describe-prefix-lists .

No entanto, observe que o intervalo de IP de um serviço pode mudar de tempos em tempos.

    
por 26.07.2015 / 08:50