AWS Elastic Load Balancer: белый список только мой IP
Моя цель:
Чтобы сделать AWS Elastic Load Balancer доступным только для трафика с моего ip.
Что я пробовал:
- создал группу безопасности в группах безопасности EC2
- установить входящее правило, разрешающее весь трафик с моего ip [all, all, all, /32]
- назначил этот ELB вновь созданной группе безопасности
- попытался ударить эльба с ip вне myoffice
Результаты, достижения:
Весь трафик, даже от ips, отличного от моего, все еще может попасть на мой ELB (и, таким образом, попасть на мои серверы приложений).
Что я делаю неправильно? Как я могу заблокировать входящий трафик на мой ELB (и экземпляры EC2 за ним)?
2 ответа
Вам необходимо создать группу безопасности на серверах приложений, которая разрешает входящий трафик только из группы безопасности ELB.
Как говорят в документах:
Эта функция включает две группы безопасности - исходную группу безопасности и группу безопасности, которая определяет правила входа для вашего внутреннего экземпляра. Чтобы заблокировать трафик между балансировщиком нагрузки и внутренними экземплярами, добавьте или измените правило для внутренней группы безопасности, которое ограничивает входящий трафик, чтобы он мог поступать только из исходной группы безопасности Amazon EC2, предоставляемой Elastic Load Balancing,
Проверьте ниже.
1) Группа безопасности по умолчанию VPC, если присоединена к ELB, разрешающая 80 любому?
2) Никакой другой SG не должен быть присоединен к ELB, кроме того, что вы явно разрешили для
3) Поскольку вы можете разрешить трафик только в группе безопасности, а остальные все попадут в неявное запрещение, существует другой способ отбросить весь трафик в NACL подсети, в которой был запущен ELB.