限制EC2实例的出站访问

我们的公司正在成为符合PCI规范的过程,其中一个要求是限制我们服务器的出站访问。 我们只有一个属于PCI范围的EC2实例,并且我想限制对此实例的出站Internet访问仅限于所需的服务。

有没有build立呢? VPC是最好的select吗?

非常感谢,

埃利

VPC使您可以通过该特定框的安全组控制外出stream量。 如果“内置”意味着通过代码控制访问,那么我使用python boto编程做事情。

考虑以下:

  • 安全组允许您selectCIDR(IP范围)和端口。 您可以限制实例级别的出站访问。
  • networkingACL允许您执行相同的操作,但是在子网级别。
  • 您可以将防火墙放入您的networking或使用您的NAT设备来控制出站访问。 这可以帮助logging这可能是PCI合规性的要求。
  • 你可以使用软件防火墙,比如linux的iptables,它也可以帮助logging需求。