AWS ağı EKL kural sınırı çevresinde çalışma

Bir VPC ağı ACL'sinde en fazla 40 kural uygulanabilir.

Sistemlerimizde, herhangi bir bağlantı noktası ve herhangi bir protokol üzerinden erişimi açıkça engellemem gereken 50'den fazla IP adresinin bir listesi var. Bu bir EKL için ideal bir amaçtır, ancak sınır bu görevi tamamlamamı engelliyor.

Tabii ki, bunu her ana bilgisayardaki IPTables'da yapabilirim, ancak VPC'deki tüm bileşenlere (örneğin ELB'lere) olan tüm trafiği engellemek istiyorum. Ayrıca, bu kuralları her bir ana bilgisayar yerine tek bir yerde yönetmek çok daha idealdir.

Bunu sistem / platform düzeyinde yapmamamın bir yolu olduğunu umuyorum. Güvenlik grupları, izin verme eylemi olmadan açıkça izin verir, bu yüzden hile yapmazlar.

amazon-web-services access-control-list amazon-vpc

— emmdee
kaynak

Iptables yönetimi için Ansible gibi sağlama yazılımlarını kullanın ve işiniz bitti. Açıkçası sadece EC2 örneklerinde çalışacaktır; LBs vb. değil

— Kyslik

Evet iptables yapmanın EC2 için iyi olduğunu kabul ediyorum, ancak gelen trafiğimin% 99'u ELB yapımıza çarpıyor. Biz başa çıkmak zorunda bu bilinen dolandırıcıların birçok hit için ödeme olurdu. Giriş için teşekkürler

— emmdee

50 ayrı IP'yi engellemek garip bir gereksinim gibi görünüyor.

— user253751

... ve dolandırıcılarınızın hiçbirinin dinamik IP'si yok mu?

— user253751

Bazen onları uzak tutar, bazen tutmaz. Çoğu zaman işe yaradığını kanıtlamış bir iş uygulamasıdır, bu nedenle fikriniz ne olursa olsun IP'leri engellemeyi durdurmak için bir neden yoktur. Bu soru 16 saat içinde 9 upvotes gibi geliyor bu soru canlı olduğunu, bu çılgın bir istek olmadığını kanıtlıyor. Bir sebepten ötürü bu gururu tutmaya devam et.

— emmdee

Yanıtlar:

İşte bir sol alan fikri .. Her bir IP için VPC yol tablosuna bir "kırık" yol ekleyerek, engellenen 50 IP'yi "boş gösterebilirsiniz".

Bu, IP'lerden gelen trafiğin altyapınıza çarpmasını engellemez (yalnızca NACL'ler ve SG'ler bunu önler), ancak geri dönüş trafiğinin onu her eve "geri dönmesini" önler.

— Korkak Penguen
kaynak

Bir geçiş ağ geçidi oluşturarak, yönlendirmeyi ayarlayıp, ardından geçiş ağ geçidini silerek, bir kez yönlendirilmiş trafiği geçersiz kıldım. Yine de daha kolay bir yol olabilir.

— Tim

Fena fikir değil. Kutunun dışında düşünüyor teşekkürler. Biraz deneme yapacağım. WAF için ödeme yapmadan gitmek için doğru yol olabilir

— emmdee

NACL'lerde limiti artırmanın bir yolu yoktur ve çok sayıda NACL kuralı ağ performansını etkiler.

Her şeyden önce mimari bir sorununuz olabilir.

Örneklerinizin genel alt ağlarda olması gerekiyor mu?
Gelen trafiği sınırlamak için NAT ağ geçitleri ayarladınız mı?
Genel alt ağlarda olması gereken durumlar için en az gelen güvenlik grubu kuralınız var mı?
CloudFront'a ve yük Dengeleyicilerinize istenmeyen trafiği engellemek için AWS WAF IP eşleşme koşullarını mı kullanıyorsunuz ?

NACL kural sınırına ulaşıyorsanız, büyük olasılıkla AWS'nin VPC mimarisine önerilen yaklaşımı ve istenmeyen trafiği ve açık saldırıları engellemek için WAF (ve Shield for DDoS gibi) hizmetlerini kullanmıyorsunuzdur .

Endişeniz DDoS saldırılarıysa: Amazon CloudFront ve Amazon Route 53 Kullanarak Dinamik Web Uygulamalarını DDoS Saldırılarına Karşı Korumaya Yardımcı Olma 53

— Fo.
kaynak

NAT ağ geçitleri, gelenlerden ziyade giden trafik içindir.

— Tim

@Tim'i düzeltin, böylece örneklerinizi NAT ağ geçitlerinin arkasındaki özel alt ağlara koymak, onları gelen saldırılara açmadan giden bağlantı sağlar ve NACL'lerde IP'leri engellemeye gerek yoktur

— Fo.

WAF çok yüksek trafikli web siteleri için oldukça pahalıdır. Bu nedenle bundan kaçınmaya çalışıyorum. Güvenlik gruplarının açıkça engelleme yapamaması ve web EKL'sinin bu sınıra sahip olması, büyük bir nakit tutumu gibi görünüyor.

— emmdee

Sanırım bu açıklanmayan kullanım durumuna bağlıdır. Bu IP'leri engellemenin nedeni bir web sunucusuna saldırıyor olmaları durumunda, yine de sunuculara genel erişim olması gerekir, bu da bir yük dengeleyici veya proxy anlamına gelir. Özel bir alt ağ bu durumda yardımcı olmaz.

— Tim

Benim kullanım durumum% 99 ELB gelen trafiği alıyor. EC2 bulut sunucuları ELB'lerin arkasında özeldir.

— emmdee

Bu tam olarak istediğin şey değil, ama işi yeterince iyi yapabilir.

CloudFront'u altyapınızın önüne kurun. Trafiği etkili bir şekilde engellemek için IP Eşleşme Koşullarını kullanın . CloudFront, hem statik hem de dinamik içerikle çalışır ve genel internet yerine AWS omurgasını kullandığından dinamik içeriği hızlandırabilir. İşte dokümanların söyledikleri

İsteklerden kaynaklanan IP adreslerine göre bazı web isteklerine izin vermek ve diğerlerini engellemek istiyorsanız, izin vermek istediğiniz IP adresleri için bir IP eşleştirme koşulu ve engellemek istediğiniz IP adresleri için başka bir IP eşleştirme koşulu oluşturun .

CloudFront'u kullanırken, güvenlik gruplarını kullanarak herkese açık kaynaklara doğrudan erişimi engellemelisiniz. AWS Güncelleme Güvenlik Grupları lambda bugüne kadar güvenlik grupları tutacak içinde CloudFront trafiğine izin ancak diğer trafik reddetmek. Http'yi CloudFront kullanarak https'ye yönlendirirseniz, http'nin altyapınıza çarpmasını önlemek için komut dosyalarını biraz değiştirebilirsiniz. Doğrudan yönetici erişimi gerektiren IP'leri de beyaz listeye ekleyebilirsiniz.

Alternatif olarak, CloudFlare gibi bir üçüncü taraf CDN kullanabilirsiniz. CloudFlare etkili bir güvenlik duvarına sahiptir, ancak istediğiniz kural sayısı için ayda 200 dolar. Bu CloudFront'dan daha ucuz olabilir, AWS bant genişliği oldukça pahalıdır. Ücretsiz plan size sadece 5 güvenlik duvarı kuralı verir.

— Tim
kaynak

Statik içerik için zaten bulut önünü kullanıyoruz, ancak birçok site dinamik web içeriğidir.

— emmdee

CloudFront ayrıca dinamik içerik için kullanılabilir aws.amazon.com/blogs/networking-and-content-delivery/…

— Fo.

CloudFront, dinamik içeriği hızlandırabilir, sanırım genel internet yerine AWS omurgasını kullanıyor. CloudFront'un EC2'den biraz daha ucuz bant genişliği var ve sanırım bir süre önce CloudFront'un EC2'ye geri bant genişliği ücretsiz olduğunu duyurdum.

— Tim