【问题标题】:Securing outbound traffic rule from EC2 instances when using ECS使用 ECS 时保护来自 EC2 实例的出站流量规则
【发布时间】:2016-12-24 22:10:31
【问题描述】:

即使我在私有子网中创建 EC2 实例,如果我想将它们注册到 ECS 集群,它们也必须能够将流量发送到 Internet。

我正在使用 NAT 网关来执行此操作,但我仍然感到不安全,因为实例可以在被接管的情况下将私人信息发送到任何地方。

我可以为实例的安全组使用的最紧凑的 CIDR 范围是什么,而不是 0.0.0.0/0?

【问题讨论】:

标签: security amazon-web-services nat gateway amazon-ecs


【解决方案1】:

目前,您可能不得不依赖list of public IP address ranges for AWS,允许流量绑定到与您所在区域关联的所有 CIDR 块。

AWS 所做的大部分工作的弹性设计的一部分依赖于其服务端点的能力依赖于静态地址分配,而是使用 DNS...但它们的服务端点应该始终位于与您所在地区相关的地址上,因为很少有服务违反其严格的服务基础设施区域分离的做法。

(CloudFront、Route 53 和 IAM 可以,也许还有其他,但这些是配置端点,而不是可操作端点。大多数应用程序无需访问这些仅配置端点即可正常运行。)

【讨论】:

  • 很好的回答迈克尔,不知道公开可用的 AWS 地址范围列表,这真的很方便。
【解决方案2】:

这里一个超级常见的模式是在狭窄的 CIDR 中创建代理,并且只允许出站流量流经代理。将 AWS 端点列入白名单并记录流经代理的所有流量以进行监控/审计。

AWS 终端节点 = https://docs.aws.amazon.com/general/latest/gr/rande.html

【讨论】:

    猜你喜欢
    • 2018-01-19
    • 2015-03-07
    • 2017-11-27
    • 2019-11-09
    • 1970-01-01
    • 2013-12-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多