我应该禁用 EC2 访问外部网络以提高安全性吗?

【问题标题】:Should I disable EC2 to access external network to improve safety?我应该禁用 EC2 访问外部网络以提高安全性吗?
【发布时间】:2021-02-06 07:31:00
【问题描述】:

我想在一些云(可能是亚马逊、谷歌等)上使用 Kubernetes。我应该禁止我的 EC2 机器访问外部网络吗?我的猜测如下,不知道是对还是错?

  1. 应该禁止 EC2 访问外部网络。否则,黑客可以更容易地攻击我的机器。 (对吗?)
  2. 怎么做:我应该使用一个专用的负载均衡器(可能是 Ingress)和我的域名绑定的外部 IP。然后负载均衡器将与我的实际应用程序(它有没有外部 IP 并且只能访问内部网络)进行通信。 (对吗?)

抱歉,我是 Ops 新手,感谢您的帮助!

【问题讨论】:

标签: amazon-web-services kubernetes amazon-ec2 google-cloud-platform


【解决方案1】:

允许或禁止您的 EC2 实例访问外部网络,即保留允许您的安全组中的所有传出流量的规则对于阻止黑客入侵没有多大用处,这就是传入流量规则的用途。但是,它会阻止不需要的流量在黑客到达您的实例并能够在其上安装任何恶意软件之后流出,然后它会尝试发起流出的通信。

通常会保留传出流量规则以允许进行软件安装和更新等操作,但它不会影响您的实例如何响应传入请求(合法与否)。

最好在您的实例前面放置一个负载均衡器,并让它成为您服务的唯一允许入口点。这是一个很好的模式,您的实例不需要外部 IP 地址。

拥有堡垒主机也是一个好主意,并使用它来管理实例本身。我也会推荐 Systems Manager 的 Session Manager 来完成这项任务。

【讨论】:

  • 谢谢,朋友! (给你投票 + 接受 = 25 声望 :))
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 2013-09-27
  • 2020-01-17
  • 1970-01-01
  • 1970-01-01
  • 2015-07-30
  • 1970-01-01
  • 2010-10-08
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode