Защита правила исходящего трафика от экземпляров EC2 при использовании ECS
Даже когда я создаю экземпляры EC2 в частной подсети, они должны иметь возможность отправлять трафик в Интернет, если я хочу зарегистрировать их в кластере ECS.
Я использую шлюз NAT для этого, но я все еще чувствую себя неуверенно, что экземпляры могут отправлять личную информацию в любое место в случае захвата.
Какой будет самый компактный диапазон CIDR, который я могу использовать для группы безопасности экземпляров вместо 0.0.0.0/0?
2 ответа
Супер распространенный шаблон здесь заключается в создании прокси в узком CIDR и разрешении только исходящему трафику проходить через прокси. Белый список конечных точек AWS и запись всего трафика, проходящего через прокси-сервер для мониторинга / аудита.
Конечные точки AWS = https://docs.aws.amazon.com/general/latest/gr/rande.html
На данный момент вам, возможно, придется полагаться на список общедоступных диапазонов IP-адресов для AWS, что позволяет трафику ограничиваться для всех блоков CIDR, связанных с вашим регионом.
Часть плана обеспечения устойчивости большей части того, что делает AWS, зависит от способности их конечных точек службы не зависеть от назначения статических адресов и вместо этого использовать DNS... но их конечные точки службы всегда должны быть на адресах, связанных с вашим регионом, так как очень немногие сервисы нарушают свою практику строгого регионального разделения сервисной инфраструктуры.
(CloudFront, Route 53 и IAM делают, может быть, другие, но это конечные точки обеспечения, а не рабочие. Эти конечные точки только для обеспечения не должны быть доступны для большинства приложений, чтобы нормально функционировать.)