แนบ NSG กับอินเทอร์เฟซของเกตเวย์ NAT

ฉันจะแนบ stateful NSG กับอินเทอร์เฟซเครือข่ายเกตเวย์ NAT ใน AWS ได้อย่างไร หากฉันพยายามเพิ่มด้วยตนเอง ฉันได้รับข้อผิดพลาดต่อไปนี้: "คุณไม่ได้รับอนุญาตให้เข้าถึงทรัพยากรที่ระบุ" ในพอร์ทัล

โดยค่าเริ่มต้น อินเทอร์เฟซของเกตเวย์ NAT จะไม่มีการแนบ NSG ดังนั้น VPC Flow Logs จึงแสดงการรับส่งข้อมูลทางอินเทอร์เน็ตขาเข้าว่ายอมรับแล้ว ฉันรู้ว่าทราฟฟิกจริงไม่ได้รับการยอมรับจากเกตเวย์ NAT และหลุดออกไป แต่สิ่งนี้ก็ยังน่ารำคาญมากเพราะมันทำให้บันทึกรกรุงรัง

ที่นี่ IP ส่วนตัวของเกตเวย์ NAT คือ 10.0.1.226 และคุณเห็นว่ากำลังถูกตรวจสอบจากอินเทอร์เน็ตสาธารณะ:

เวอร์ชัน รหัสบัญชี รหัสอินเทอร์เฟซ srcaddr dstaddr srcport dstport แพ็กเก็ตโปรโตคอล ไบต์ เริ่มต้น สิ้นสุด การกระทำ บันทึกสถานะ
2 770604943877 eni-0d9c6092f69e85b93 162.142.125.159 10.0.1.226 54995 20121 6 1 44 1631843704 1631843705 ยอมรับ ตกลง
2 770604943877 eni-0d9c6092f69e85b93 192.241.207.249 10.0.1.226 37490 8098 6 1 40 1631843722 1631843724 ยอมรับ ตกลง
2 770604943877 eni-0d9c6092f69e85b93 89.248.165.59 10.0.1.226 52915 5017 6 1 40 1631843709 1631843741 ยอมรับ ตกลง
2 770604943877 eni-0d9c6092f69e85b93 45.135.232.119 10.0.1.226 43453 8737 6 1 40 1631843761 1631843762 ยอมรับ ตกลง
2 770604943877 eni-0d9c6092f69e85b93 162.142.125.149 10.0.1.226 4078 9010 6 1 44 1631843780 1631843782 ยอมรับ ตกลง
2 770604943877 eni-0d9c6092f69e85b93 89.248.165.204 10.0.1.226 53823 5354 6 1 40 1631843789 1631843799 ยอมรับ ตกลง
2 770604943877 eni-0d9c6092f69e85b93 192.241.215.86 10.0.1.226 43709 137 17 1 78 1631843789 1631843799 ยอมรับ ตกลง
2 770604943877 eni-0d9c6092f69e85b93 162.142.125.146 10.0.1.226 14176 18045 6 1 44 1631843739 1631843790 ยอมรับ ตกลง
2 770604943877 eni-0d9c6092f69e85b93 162.142.125.150 10.0.1.226 48059 21381 6 1 44 1631843739 1631843790 ยอมรับ ตกลง
2 770604943877 eni-0d9c6092f69e85b93 185.191.34.207 10.0.1.226 59477 36 6 1 40 1631843739 1631843790 ยอมรับ ตกลง
2 770604943877 eni-0d9c6092f69e85b93 91.132.58.183 10.0.1.226 5106 5162 17 1 443 1631843739 1631843790 ยอมรับ ตกลง

หากฉันเพิ่ม ACL ของเครือข่ายเพื่อปฏิเสธการรับส่งข้อมูลขาเข้าจากอินเทอร์เน็ต มันจะป้องกันการเข้าถึงอินเทอร์เน็ตขาออกที่เริ่มต้นโดย VPC ด้วย เนื่องจาก ACL นั้นไร้สัญชาติ ดังนั้นทราฟฟิกการตอบกลับขาเข้าจากอินเทอร์เน็ตจะถูกบล็อก

ฉันพบว่าคำถามของคุณสับสนเล็กน้อย เมื่อคุณพูดว่า "NSG" ฉันถือว่าคุณหมายถึง "Security Group" Azure มี "Network Security Groups" AWS เป็นกลุ่มความปลอดภัย นอกจากนี้ คุณยังไม่ได้บอกว่าคุณกำลังพยายามบรรลุอะไร คุณเคยพูดว่าอะไรไม่ได้ผล ซึ่งทำให้การช่วยเหลือคุณเป็นเรื่องยาก ฉันจะให้ความคิดทั่วไปแก่คุณ แต่ถ้าสิ่งเหล่านี้ไม่ถูกต้อง โปรดแก้ไขคำถามของคุณเพื่อพูดถึงสิ่งที่คุณต้องการบรรลุ และแก้ไขคำย่อ

NAT Gateways ไม่มีกลุ่มความปลอดภัย กลุ่มความปลอดภัยคือไฟร์วอลล์รอบๆ ENI เช่น บนอินสแตนซ์ EC2 คุณไม่ต้องเสียค่าใช้จ่ายสำหรับการรับส่งข้อมูลขาเข้า ดังนั้นคุณจึงไม่ควรสนใจสิ่งที่ถูกปฏิเสธโดยเกตเวย์ NAT นอกเหนือจากการตรวจสอบความปลอดภัยของปัญหา/เหตุการณ์เฉพาะ ไม่มีสิ่งใดมาในเกตเวย์ NAT นั่นคือสิ่งที่พวกเขาต้องการ

ดูเหมือนว่าปัญหาหลักของคุณคือการปฏิเสธการรับส่งข้อมูลในบันทึกโฟลว์ VPC สำหรับการรับส่งข้อมูลที่เกตเวย์ NAT ปฏิเสธจากอินเทอร์เน็ตคำแนะนำหลักของฉันคือไม่ต้องสนใจ เนื่องจากอาจมีประโยชน์ในวันหนึ่งสำหรับวัตถุประสงค์ทางนิติวิทยาศาสตร์ในสภาพแวดล้อมที่มีความปลอดภัยสูง หรือปิดบันทึกโฟลว์ VPC หากคุณไม่ต้องการ ฉันใช้บันทึกโฟลว์ VPC สำหรับการวินิจฉัย และปล่อยไว้เฉพาะในเงื่อนไขการบันทึกที่ PCI / CIS / การปฏิบัติตามข้อกำหนดที่คล้ายกัน จะมีการปฏิเสธทราฟฟิกจำนวนมากในบันทึกเหล่านั้นเสมอ ครั้งหนึ่งฉันเคยใช้เวลาไม่น้อยในการติดตามการปฏิเสธในซับเน็ตภายในที่ไม่มีการเข้าถึงอินเทอร์เน็ต แต่เวลาของฉันหมดลงก่อนที่จะไปถึงไหน ฉันแค่ปล่อยมันไป

คุณสามารถเปลี่ยนขอบเขตของ บันทึกโฟลว์ VPC. แทนที่จะสร้างโฟลว์ล็อกสำหรับ VPC ทั้งหมด คุณต้องสร้างโฟลว์ล็อกเฉพาะสำหรับซับเน็ตส่วนตัวเท่านั้น และตรวจสอบให้แน่ใจว่าเกตเวย์ NAT ของคุณอยู่ในซับเน็ตสาธารณะ วิธีนี้จะไม่บันทึกการรับส่งข้อมูลที่ถูกปฏิเสธจากอินเทอร์เน็ต

คุณยังสามารถกำหนดค่าโฟลว์ล็อกเพื่อบันทึกการรับส่งข้อมูล ACCEPT, REJECT หรือทั้งสองประเภท

เพื่อสรุปและแสดงความคิดเห็นของคุณ:

1. บันทึกโฟลว์ VPC เป็นเครื่องมือที่ใช้สำหรับการวินิจฉัยเครือข่าย (และไม่ค่อยได้เปิดใช้) หรือสำหรับการบันทึกการปฏิบัติตามข้อกำหนด (เปิดตลอดเวลาแต่กำหนดขอบเขตโดยเจตนา) มีคนไม่มากนักที่เปิดใช้งาน
2. ฉันจะเปิดบันทึกโฟลว์ VPC เมื่อฉันมีเหตุผลที่ดีเท่านั้น เมื่อฉันกำหนดขอบเขตให้กับอินเทอร์เฟซเครือข่ายและประเภทการรับส่งข้อมูลที่ฉันต้องการ (ยอมรับ / ปฏิเสธ / ทั้งสองอย่าง)
3. ฉันดูเฉพาะบันทึกโฟลว์ VPC เมื่อฉันทำการวินิจฉัยเครือข่าย เมื่อฉันดูมันเป็นอินเทอร์เฟซ / เหตุการณ์เฉพาะ ดังนั้นฉันจึงเพิกเฉยต่อทุกสิ่งที่ไม่จำเป็นต้องเห็น
4. ฉันได้ตั้งค่า Cloudwatch Log Group เป็นระยะเวลาการเก็บรักษาที่เหมาะสม