我正在与VPC中的EC2服务器合作,尽可能减less出站stream量,并将所有出站stream量明确列入白名单。 但是,基于EC2安全组或networkingACL,看起来我需要指定允许的确切IP地址。 (另外,允许给定端口上的所有IP地址,这是我想避免的。
许多第三方服务都列出了IP地址 – 例如,New Relic在https://docs.newrelic.com/docs/site/networks上列出了它们。
不过,其中很多人并没有这样做 – 例如,我一直在找Ubuntu版本的等价物,这可能是因为他们轮stream使用IP。 (我似乎无法findGoogle API的IP地址。)
我希望有人能够1)告诉我我错了,并指出一种方法来保持出口白名单的IP与他们的DNSparsing同步,或2)解释如何出站stream量通常被过滤在一个相对安全的/偏执狂的VPC 。
你通常只是将所需的端口列入白名单,而不打扰到IP的粒度? 有一个stream行的防火墙/ NAT软件,您使用更复杂的过滤?
我希望这个问题具体一点 – 先谢谢了!
并将所有出站stream量明确列入白名单
来自实例的所有出站stream量都默认情况下在AWS上列入白名单。
在我们希望尽可能less出站stream量的VPC中,
在不了解您的实例在其他基础架构中的作用的情况下,这是我所能想象的。
您可以:A.使用具有公共和私有子网的拓扑结构。 具有关键任务安全性和/或计算实例的实例将在私有子网中运行,并且只能由其私有IP上的pipe理实例访问。
B.您可以使用VPN在外部访问您的私有子网上的实例。
C.如果这些服务器是面向互联网的服务器,那么除了主服务(Dovecot,NGINX等)之外,您可以禁止所有到任何IP的出站连接,并使用Puppet进行自动升级(从pipe理中心下载到您的VPC实例)。 这样,您就不用担心某些镜像库的IP,只需在validation之前禁止所有这些IP,然后运行自动更新,以最小的努力。
希望这有助于(如果是这样,请投票)。
有一个stream行的防火墙/ NAT软件,您使用更复杂的过滤?
一些安全公司在AWS Marketplace上销售他们的解决scheme(如国家/地区拦截器),供我们那些需要偏执性安全的人使用。