แก้ไขข้อ จำกัด ACL ของเครือข่าย AWS


12

สูงสุด ACL เครือข่าย VPC สามารถมีกฎได้ 40 ข้อ

ฉันมีรายการที่อยู่ IP มากกว่า 50 รายการที่ฉันต้องปิดกั้นการเข้าถึงในระบบของเราผ่านพอร์ตใด ๆ และโปรโตคอลใด ๆ อย่างชัดเจน นี่เป็นจุดประสงค์ในอุดมคติสำหรับ ACL แต่ข้อ จำกัด นั้นขัดขวางให้ฉันทำงานนี้ให้เสร็จ

แน่นอนฉันสามารถทำได้ใน IPTables ในแต่ละโฮสต์ แต่ฉันต้องการปิดกั้นการรับส่งข้อมูลใด ๆ และทั้งหมดไปยังส่วนประกอบทั้งหมดใน VPC (ตัวอย่างเช่น ELB) ยิ่งไปกว่านั้นการจัดการกฎเหล่านี้ในที่เดียวจะดีกว่าในทุก ๆ โฮสต์

ฉันหวังว่าจะมีวิธีที่ฉันไม่เข้าใจในการทำสิ่งนี้ในระดับระบบ / แพลตฟอร์ม กลุ่มความปลอดภัยได้รับอนุญาตอย่างชัดเจนโดยไม่มีการปฏิเสธดังนั้นพวกเขาจะไม่ทำการหลอกลวง


ใช้ซอฟต์แวร์การจัดเตรียมเช่น Ansible สำหรับการจัดการ iptables และคุณเสร็จแล้ว เห็นได้ชัดว่ามันจะทำงานในอินสแตนซ์ของ EC2 เท่านั้น ไม่ใช่
LBs

ใช่ฉันยอมรับว่าการทำ iptables นั้นใช้ได้กับ EC2 แต่ 99% ของปริมาณข้อมูลขาเข้าของฉันได้รับผลกระทบจากโครงสร้าง ELB ของเรา เราจะจ่ายเงินสำหรับการเข้าชมจำนวนมากจากผู้หลอกลวงที่รู้จักเหล่านี้ที่เราต้องจัดการ ขอบคุณสำหรับการป้อนข้อมูล
emmdee

1
การบล็อกไอพี 50 รายการแต่ละรายการดูเหมือนว่าเป็นข้อกำหนดที่แปลก
user253751

@immibis แปลกสำหรับคุณอาจจะ เราได้รับนักต้มตุ๋นจำนวนมากที่พยายามเสาะหาลูกค้าที่ชอบด้วยกฎหมายของเรา เราปิดกั้นบัญชีของพวกเขา แต่ยังห้ามแบนไอพีแบบเต็มสำหรับนักหลอกลวงชาวรัสเซีย / ไนจีเรีย / จีน ผลิตภัณฑ์ของเรามีการโต้ตอบกับผู้ใช้จำนวนมากการแชท / ฯลฯ - ทั้งหมดไม่แปลกสำหรับแพลตฟอร์มเช่นนั้น
emmdee

1
... และไม่มีผู้หลอกลวงของคุณที่มี IP แบบไดนามิกหรือไม่
user253751

คำตอบ:


8

นี่เป็นแนวคิดด้านซ้าย .. คุณสามารถ "null-route" 50 IP ที่ถูกบล็อกได้โดยการเพิ่มเส้นทาง "ที่ขาด" ไปยังตารางเส้นทาง VPC สำหรับแต่ละ IP

สิ่งนี้จะไม่ป้องกันการรับส่งข้อมูลจาก IP ที่กระทบกับโครงสร้างพื้นฐานของคุณ (เฉพาะ NACL และ SG เท่านั้นที่จะป้องกันได้) แต่จะป้องกันการรับส่งข้อมูลกลับจากทุกครั้งที่ทำให้ "กลับบ้าน" ..


ฉันบังเอิญเปลี่ยนเส้นทางการรับส่งข้อมูลหนึ่งครั้งโดยสร้างเกตเวย์การขนส่งตั้งค่าการกำหนดเส้นทางแล้วลบเกตเวย์การขนส่ง อาจจะมีวิธีที่ง่ายกว่านี้
ทิม

ไม่ใช่ความคิดที่เลว ขอบคุณมากที่คิดนอกกรอบ ฉันจะทำการทดลอง อาจเป็นวิธีที่ถูกต้องที่จะไปโดยไม่จ่ายเงินสำหรับ WAF
emmdee

0

ไม่มีทางที่จะเพิ่มขีด จำกัด ของ NACLs และกฎ NACL จำนวนมากส่งผลกระทบต่อประสิทธิภาพเครือข่าย

คุณอาจมีปัญหาด้านสถาปัตยกรรมเหนือสิ่งอื่นใด

  1. อินสแตนซ์ของคุณต้องอยู่ในเครือข่ายสาธารณะหรือไม่
  2. คุณได้ตั้งค่าเกตเวย์ NAT เพื่อ จำกัด การรับส่งข้อมูลขาเข้าหรือไม่
  3. สำหรับอินสแตนซ์เหล่านั้นที่ต้องอยู่ในซับเน็ตสาธารณะคุณมีกฎกลุ่มความปลอดภัยขาเข้าน้อยที่สุดหรือไม่
  4. คุณใช้เงื่อนไขการจับคู่AWS WAF IPเพื่อบล็อกทราฟฟิกที่ไม่พึงประสงค์ไปยัง CloudFront และตัวโหลดบาลานเซอร์ของคุณหรือไม่?

หากคุณกดปุ่มกฎ NACL เป็นไปได้มากที่สุดเพราะคุณไม่ได้ใช้แนวทางที่แนะนำของ AWS กับสถาปัตยกรรม VPC และการใช้บริการเช่น WAF (และShield for DDoS) เพื่อป้องกันการรับส่งข้อมูลที่ไม่ต้องการและการโจมตีอย่างเปิดเผย

หากข้อกังวลของคุณคือการโจมตี DDoS: วิธีป้องกันแอปพลิเคชันเว็บแบบไดนามิกจากการโจมตี DDoS โดยใช้ Amazon CloudFront และ Amazon Route 53


เกตเวย์ NAT มีไว้สำหรับทราฟฟิกขาออกมากกว่าขาเข้า
ทิม

ถูกต้อง @Tim ดังนั้นการวางอินสแตนซ์ของคุณในซับเน็ตส่วนตัวหลัง NAT เกตเวย์ให้การเชื่อมต่อขาออกโดยไม่ต้องเปิดการโจมตีขาเข้าและไม่จำเป็นต้องบล็อก IP ใน NACLs
Fo

WAF ค่อนข้างแพงสำหรับเว็บไซต์ที่มีปริมาณการใช้งานสูง พยายามหลีกเลี่ยงด้วยเหตุผลนั้น ความจริงที่ว่ากลุ่มความปลอดภัยไม่สามารถบล็อกอย่างชัดเจนและเว็บ ACL มีขีด จำกัด นี้ดูเหมือนว่าจะเป็นเงินสดที่สำคัญ
emmdee

ฉันเดาว่ามันขึ้นอยู่กับกรณีการใช้งานซึ่งยังไม่ได้อธิบาย หากเหตุผลในการบล็อก IP เหล่านี้คือพวกเขาถูกโจมตีเว็บเซิร์ฟเวอร์ยังคงต้องมีการเข้าถึงเซิร์ฟเวอร์สาธารณะซึ่งหมายถึง load balancer หรือพร็อกซี ซับเน็ตส่วนตัวจะไม่ช่วยในกรณีนี้
ทิม

กรณีใช้งานของฉันคือ 99% ELB กำลังรับปริมาณข้อมูลขาเข้า อินสแตนซ์ EC2 เป็นส่วนตัวหลังของ ELB
emmdee

0

นี่ไม่ใช่สิ่งที่คุณต้องการ แต่อาจทำงานได้ดีพอ

ติดตั้ง CloudFront หน้าโครงสร้างพื้นฐานของคุณ ใช้เงื่อนไขการจับคู่ IPเพื่อป้องกันการรับส่งข้อมูลอย่างมีประสิทธิภาพ CloudFront ทำงานได้กับเนื้อหาทั้งแบบคงที่และแบบไดนามิกและสามารถเร่งเนื้อหาแบบไดนามิกเนื่องจากใช้แบ็คโบน AWS มากกว่าอินเทอร์เน็ตสาธารณะ นี่คือสิ่งที่เอกสารพูด

หากคุณต้องการอนุญาตคำขอทางเว็บบางส่วนและบล็อกผู้อื่นตามที่อยู่ IP ที่คำขอมาให้สร้างเงื่อนไขการจับคู่ IP สำหรับที่อยู่ IP ที่คุณต้องการอนุญาตและเงื่อนไขการจับคู่ IP อื่นสำหรับที่อยู่ IP ที่คุณต้องการปิดกั้น .

เมื่อใช้ CloudFront คุณควรบล็อกการเข้าถึงทรัพยากรสาธารณะใด ๆ โดยตรงโดยใช้กลุ่มความปลอดภัย แลมบ์ดา AWS โปรแกรมปรับปรุงความปลอดภัยกลุ่มจะทำให้กลุ่มรักษาความปลอดภัยของคุณให้ทันสมัยเพื่อให้การจราจรใน CloudFront แต่ปฏิเสธการจราจรอื่น ๆ หากคุณเปลี่ยนเส้นทาง http ไปที่ https โดยใช้ CloudFront คุณสามารถปรับแต่งสคริปต์เล็กน้อยเพื่อป้องกัน http เข้าสู่โครงสร้างพื้นฐานของคุณ คุณสามารถยกเว้น IP ใด ๆ ที่ต้องการการเข้าถึงของผู้ดูแลระบบโดยตรง

อีกวิธีหนึ่งคุณสามารถใช้ CDN ของบุคคลที่สามเช่น CloudFlare CloudFlare มีไฟร์วอลล์ที่มีประสิทธิภาพ แต่สำหรับกฎที่คุณต้องการคือ $ 200 ต่อเดือน ซึ่งอาจมีราคาถูกกว่า CloudFront แบนด์วิดท์ AWS ค่อนข้างแพง แผนฟรีให้เพียง 5 กฎไฟร์วอลล์เท่านั้น


เราใช้ส่วนหน้าของคลาวด์สำหรับเนื้อหาแบบคงที่แล้ว แต่เว็บไซต์จำนวนมากเป็นเนื้อหาเว็บแบบไดนามิก
emmdee

CloudFront ยังสามารถใช้สำหรับเนื้อหาแบบไดนามิกaws.amazon.com/blogs/networking-and-content-delivery/ ......
สำหรับ

CloudFront สามารถเร่งเนื้อหาแบบไดนามิกผมเชื่อว่ามันใช้แบ็คโบน AWS มากกว่าอินเทอร์เน็ตสาธารณะ CloudFront มีแบนด์วิดท์ราคาถูกกว่า EC2 เล็กน้อยและฉันคิดว่าฉันเห็นประกาศในขณะที่แบนด์วิธ CloudFront กลับไปที่ EC2 นั้นฟรี
ทิม
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.