Score:0

acls ของเครือข่ายบล็อกทราฟฟิกระหว่างซับเน็ตด้วยหรือไม่

ธง in

ฉันมี VM อยู่ใน AZ ต่างๆ บน AWSคุณต้องมีเครือข่ายย่อยในแต่ละ AZ เพื่อให้ดำเนินการดังกล่าวได้

หากฉันสร้างเครือข่าย acl สำหรับการตั้งค่าทั้งหมด (เช่น เพื่อเชื่อมโยงกับเครือข่ายย่อยทั้งหมด) ฉันจำเป็นต้องระบุกฎการอนุญาตจากช่วง CIDR ของเครือข่ายย่อยทั้งหมดหรือไม่ หากไม่ดำเนินการ เครือข่าย acl จะบล็อกการรับส่งข้อมูลระหว่างเครือข่ายย่อยตามกฎพอร์ตของฉันหรือไม่

ฉันคิดว่าพวกเขาจะ...แต่ต้องการการยืนยัน

Score:1
ธง in

ACL ของเครือข่ายไม่บล็อกการรับส่งข้อมูลภายในเครือข่ายย่อย คุณสามารถพิจารณาได้เหมือนกับว่านำไปใช้กับอินเทอร์เฟซเราเตอร์บนซับเน็ตนั้น ดังนั้น ACL จึงส่งผลต่อทราฟฟิกเข้าและออกจากซับเน็ตเท่านั้น

ndtreviv avatar
in flag
ยอดเยี่ยม - ขอบคุณ!
Tim avatar
gp flag
Tim
คำตอบนี้ระบุว่าทราฟฟิกซับเน็ต "ภายใน" คำถามเกี่ยวกับทราฟฟิกระหว่างซับเน็ต
Score:0
ธง in

โดยทั่วไป ขอแนะนำให้คุณปล่อย Network ACL ไว้ที่การตั้งค่าเริ่มต้น "อนุญาตทั้งหมด" และใช้แทน Security Groups เพื่อความปลอดภัยเครือข่าย.

ป.ป.ช เป็นตัวแทนของเราเตอร์แบบดั้งเดิมที่ตั้งระหว่างซับเน็ต ควบคุมทราฟฟิกที่เข้า/ออกจากซับเน็ต กฎของ NACL คือ ไร้สัญชาติหมายความว่าจำเป็นต้องกำหนดไว้ใน ทั้งสองทิศทาง. NACLs ใช้กับการรับส่งข้อมูลเท่านั้น ระหว่าง ซับเน็ต

กลุ่มความปลอดภัย เป็นนวัตกรรมใหม่ในระบบคลาวด์คอมพิวติ้ง พวกเขาเป็นไฟร์วอลล์ในแต่ละทรัพยากรแต่ละรายการใน VPC (ให้ถูกต้องยิ่งขึ้น บนแต่ละอินเทอร์เฟซเครือข่ายยืดหยุ่น) ซึ่งช่วยให้สามารถควบคุมความปลอดภัยได้ละเอียดยิ่งขึ้น กฎคือ มีสถานะหมายความว่าคำขอที่ส่ง ออก จะช่วยให้การตอบกลับมาโดยอัตโนมัติ ใน.

กลุ่มความปลอดภัยสามารถอ้างอิงถึงกันได้ ตัวอย่างเช่น พิจารณา Amazon EC2 Instance และฐานข้อมูล Amazon RDS สามารถวางกลุ่มความปลอดภัยบนอินสแตนซ์ EC2 ซึ่งอนุญาตให้รับส่งข้อมูลเว็บเข้ามาได้ สามารถวางกลุ่มความปลอดภัยบนอินสแตนซ์ RDS ที่อนุญาตการสืบค้น SQL ขาเข้า จากกลุ่มความปลอดภัยที่เกี่ยวข้องกับอินสแตนซ์ EC2 เท่านั้น. สิ่งนี้แม่นยำกว่ากฎ NACL มาก

บรรทัดล่างคือ:

  • ใช้กลุ่มความปลอดภัยขาเข้าเสมอ เพื่อรักษาความปลอดภัยของทรัพยากร
  • เป็นทางเลือก จำกัด Outbound Security Groups (เนื่องจากโดยทั่วไปคุณสามารถเชื่อถือแอปที่ทำงานบนอินสแตนซ์ได้)
  • ไม่เคย เปลี่ยนกฎ NACL เว้นแต่คุณจะมีความต้องการด้านความปลอดภัยที่เฉพาะเจาะจงมาก เช่น การสร้าง DMZ
ndtreviv avatar
in flag
คำแนะนำนี้ไม่สอดคล้องกับแพ็คเกจความสามารถในการเข้าถึงของ AWS Inspector
pl flag
คำแนะนำนี้ไม่สามารถทำตามได้ในหลายกรณีที่กลุ่มความปลอดภัยไม่ทำงาน (เช่น ผ่าน Transit Gateway, การเพียร์ VPC ระหว่างภูมิภาค)
Score:0
ธง gp
Tim

ฉันเชื่อว่าคำตอบจากรอนนั้นถูกต้อง แต่ไม่ตอบคำถามของคุณ

หากคุณมีอินสแตนซ์ในเครือข่ายย่อยหลายรายการ และอินสแตนซ์ของคุณต้องการสื่อสาร NACL ของคุณจะต้องคำนึงถึงสิ่งนี้ด้วยกฎการอนุญาต ฉันยังไม่ได้ทดสอบสิ่งนี้ แต่ฉันทำงานกับ AWS มานานแล้วและฉันค่อนข้างแน่ใจว่านี่เป็นวิธีที่ได้ผล

สิ่งที่น่าสนใจคือกลุ่มความปลอดภัยเป็นไฟร์วอลล์ที่สามารถพิจารณาได้รอบ ๆ อินเตอร์เฟสเครือข่ายแต่ละอัน ดังนั้นหากคุณต้องการให้อินสแตนซ์ในกลุ่มความปลอดภัยสื่อสาร คุณต้องมีกฎเพื่ออนุญาตให้อินสแตนซ์จากกลุ่มความปลอดภัยเข้าถึงตัวมันเอง

คำตอบสำหรับความคิดเห็นในคำถาม:

พอร์ต คุณต้องเปิดพอร์ต 80 / 443 บนกลุ่มความปลอดภัยเว็บเซิร์ฟเวอร์ของคุณเท่านั้น ส่วน 1024 - 65535 เป็นพอร์ตชั่วคราว ซึ่งคุณควรอ่านหากต้องการทำความเข้าใจ เริ่มกับ วิกิพีเดีย แต่จากนั้นไปยังสิ่งที่เข้าใจง่ายขึ้นหากคุณต้องการ

ผู้ตรวจสอบ AWS หน้านี้ กล่าวต่อไปนี้

ตัวแทน Amazon Inspector เริ่มต้นการสื่อสารทั้งหมดกับ Amazon บริการสารวัตร. ซึ่งหมายความว่าตัวแทนต้องมีขาออก เส้นทางเครือข่ายไปยังปลายทางสาธารณะเพื่อให้สามารถส่งข้อมูลทางไกลได้ ตัวอย่างเช่น เอเจนต์อาจเชื่อมต่อกับ arsenal..amazonaws.com หรือปลายทางอาจเป็น Amazon S3 ฝากข้อมูลไว้ที่ s3.dualstack..amazonaws.com ตรวจสอบให้แน่ใจว่าได้เปลี่ยน ด้วยภูมิภาค AWS จริงที่คุณใช้ Amazon สารวัตร. สำหรับข้อมูลเพิ่มเติม โปรดดูที่ช่วงที่อยู่ IP ของ AWS เพราะ การเชื่อมต่อทั้งหมดจากตัวแทนถูกสร้างขึ้นขาออก มันไม่ใช่ จำเป็นต้องเปิดพอร์ตในกลุ่มความปลอดภัยของคุณเพื่ออนุญาตขาเข้า การสื่อสารกับตัวแทนจาก Amazon Inspector

ndtreviv avatar
in flag
ดังนั้นฉันจึงมีอินสแตนซ์ในกลุ่มความปลอดภัยเดียวกัน แต่ซับเน็ตต่างกัน ดูเหมือนว่าพวกเขากำลังคุยกันอยู่ แม้ว่า nacl จะไม่อนุญาตให้มีกฎระหว่างบล็อก CIDR ซับเน็ตที่แตกต่างกันอย่างชัดเจน แต่ฉันต้องเปิดช่วงพอร์ตขนาดใหญ่เพื่อให้บริการ amazon ทำงานได้ ดูเหมือนว่าการทำเช่นนี้แทบไม่มีประโยชน์เลย และนั่นคือ อาจเป็นเพราะทำไมมันยังคงทำงานอยู่ คุณกำลังบอกว่า ด้วยอินสแตนซ์ในกลุ่มความปลอดภัยเดียวกัน เครือข่ายย่อยที่แตกต่างกัน nacl เดียวกัน ฉันต้องเปิดช่วงพอร์ตระหว่างช่วง CIDR ของซับเน็ตที่แตกต่างกันเพื่อให้การสื่อสารทำงานได้
Tim avatar
gp flag
Tim
คุณไม่ควรเปิดพอร์ตจำนวนมาก โดยปกติแล้วจะเปิดเพียง 443 เว้นแต่จะเป็น AD IP ปลายทางเยอะแน่นอน ฉันคิดว่าอินสแตนซ์ในเครือข่ายย่อยต่างๆ ที่จำเป็นต้องสื่อสารต้องการทั้ง NACL และ SG เพื่ออนุญาตการสื่อสาร
ndtreviv avatar
in flag
บางทีฉันอาจเข้าใจผิด: https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-ephemeral-ports ? โดยเฉพาะบิต "คำขอที่มาจาก Elastic Load Balancing ใช้พอร์ต 1024-65535" หรือไม่
ndtreviv avatar
in flag
ไม่เพียงแค่นั้น แต่ดูเหมือนว่าหากคุณล็อก AWS Inspector ทันทีก็ไม่ทำงานด้วยซ้ำ ââï¸
Tim avatar
gp flag
Tim
ฉันได้แก้ไขคำถามของฉันเพื่อตอบความคิดเห็นของคุณ

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา