【发布时间】:2021-07-10 13:43:53
【问题描述】:
我有以下 AWS 架构:
可以由 API Gateway、SNS 或 SQS 触发 lambda。
我尝试尽可能关闭安全组的 IP 和端口以及 Lambda 和 RDS 基础设施的 ACL。
RDS的SG和NACL很封闭,只允许Lambda访问,但是Lambda安全组和NACL是开放的0.0.0.0/0 Inbound/Outbound。
看下面的结构:
- NAT 网关使用端口 1024-65535。
- AWS Lambda 函数使用端口 1024-65535。
https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html
API Gateway 支持以下端点端口:80、443 和 1024-65535。
https://docs.aws.amazon.com/apigateway/latest/developerguide/setup-http-integrations.html
我使用 VPC Flow 查看了哪些 IP 和端口正在进入 Lambda 子网,以及我可以理解它们是动态的并且不断变化的。
我在许多建议中发现您不应该使用 0.0.0.0/0 并且应该尽可能关闭 IP 和端口,我怎样才能关闭更多我的安全架构?
我还发现这个链接创建了一个 lambda 以在亚马逊的 IP 列表中动态创建基于规则的规则。这是最好的方法吗?
https://blog.rowanudell.com/updating-security-groups-with-lambda/
【问题讨论】:
标签: amazon-web-services security amazon-ec2 aws-lambda aws-security-group