Белый список исходящего трафика в VPC для смены IP-адресов

Question

Белый список исходящего трафика в VPC для смены IP-адресов

Я работаю с серверами EC2 в VPC, где мы хотим, чтобы исходящий трафик был как можно меньше, а весь исходящий трафик был явно указан в белом списке. Однако, основываясь на группах безопасности EC2 или сетевых ACL, похоже, что мне нужно указать точные разрешенные IP-адреса. (Альтернативы, разрешающей все IP-адреса на данном порту, я бы хотел избежать.)

У большого числа сторонних сервисов есть IP-адреса в списке - например, New Relic перечисляет их по адресу https://docs.newrelic.com/docs/site/networks.

Однако многие из них этого не делают - у меня были проблемы с поиском эквивалента для репозиториев Ubuntu, например, и это, вероятно, потому, что они чередуют IP-адреса. (Похоже, я не могу найти IP-адреса для API Google.)

Я надеялся, что кто-то может либо: 1) сказать мне, что я неправ, и указать способ синхронизации выходных IP-адресов из белого списка с их разрешением DNS, либо 2) объяснить, как исходящий трафик обычно фильтруется в относительно безопасном / параноидальном VPC,

Вы обычно просто вносите в белый список необходимые порты и не беспокоитесь о степени детализации IP-адресов? Существует ли популярное программное обеспечение брандмауэра / NAT, которое вы используете для более сложной фильтрации?

Надеюсь, этот вопрос был достаточно конкретным - заранее спасибо!

3

ubuntu firewall amazon-vpc

Источник

Josh 10 май '14 в 07:07

1 ответ

Другие вопросы по тегам ubuntu firewall amazon-vpc

NightKnight on Cloudinsidr.com 10 май '14 в 15:26 2014-05-10 15:26 · Answer 1 · 2014-05-10 15:26

и чтобы весь исходящий трафик был явно внесен в белый список

Весь исходящий трафик из экземпляра явно указан в белом списке в AWS по умолчанию.

в VPC, где мы хотели бы как можно меньше исходящего трафика,

Не зная каких-либо подробностей о роли ваших экземпляров для остальной части вашей инфраструктуры, я могу представить, что это произойдет.

Вы можете: A. использовать топологию с публичной и частной подсетями. Экземпляры с критически важной защитой и / или вычислительными экземплярами будут работать в частной подсети и будут доступны только экземпляру управления на их частных IP-адресах.

Б. Вы можете сделать экземпляры в своей частной подсети доступными извне с помощью VPN.

C. Если это серверы с выходом в Интернет, вы можете запретить все исходящие соединения с любым IP-адресом, за исключением их основных служб (Dovecot, NGINX и т. Д.), И использовать Puppet для автоматических обновлений (из репозитория, загруженного в ваш VPC вашим руководством. пример). Таким образом, вам не нужно беспокоиться о IP-адресах некоторых зеркальных репозиториев, вы просто запрещаете все из них до проверки и запускаете автоматические обновления с минимальными усилиями.

Надеюсь, это поможет (и если да, пожалуйста, проголосуйте).

Существует ли популярное программное обеспечение брандмауэра / NAT, которое вы используете для более сложной фильтрации?

Несколько охранных компаний продают свои решения на AWS Marketplace (например, страновые блокираторы) для тех из нас, кому нужна параноидальная безопасность.