【问题标题】:Key use case differences of using AWS security group and Network ACL使用 AWS 安全组和网络 ACL 的主要用例差异
【发布时间】:2016-10-06 14:48:27
【问题描述】:

我知道网络 ACL 和安全组的有状态/无状态性质;我也知道网络 ACL 与子网相关联,而安全组与实例相关联。

以上两个是最明显的区别,我们应该在其中编码我们的安全策略。

但是,有没有我们可以清楚地看到一个比另一个更好的用例?

例如,现在,我正在考虑锁定堡垒主机的网络安全。我可以将其编码为安全组 sg_A {仅允许来自一组已知 IP 范围的 22 个用于入口流量},并将 sg_A 与堡垒实例相关联。我还可以将其编码为网络 ACL net_acl_B {仅允许来自一组已知 IP 范围的 22 个用于入口流量},并将 net_acl_B 与堡垒实例所在的子网相关联。

【问题讨论】:

    标签: security networking amazon-vpc aws-security-group


    【解决方案1】:

    我还可以将其编码为网络 ACL net_acl_B {仅允许来自一组已知 IP 范围的 22 个用于入口流量},并将 net_acl_B 与堡垒实例所在的子网相关联。

    不完全是。

    默认网络 ACL已经允许所有流量进出。明确允许特定的流量并不会改变任何东西,因为一切都是开箱即用的。

    相反,默认情况下,安全组不允许入站。

    您还必须允许安全组中的堡垒主机访问,因为两个实体都必须允许您想要通过的所有流量。 任何一个都不会覆盖另一个“允许”的规则“——他们必须同意。

    无状态的网络 ACL 也必须允许响应流量,而有状态的安全组则不允许。

    规则 1:使用安全组进行访问控制。基本上没有理由打开一个安全组,然后转而使用网络 ACL 作为唯一的防火墙层。

    规则 2 选项 A:仅使用网络 ACL 仅实施安全组无法实现的限制,例如阻止来自允许的较大子网中的小子网的流量。

    规则 2 选项 B:使用网络 ACL 复制安全组中的规则逻辑,作为物理上第一层、逻辑上第二层的防御层,以防止无意中允许的安全组错误配置。

    【讨论】:

      猜你喜欢
      • 2020-12-31
      • 2021-07-10
      • 1970-01-01
      • 2021-07-09
      • 1970-01-01
      • 2014-07-22
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多