Die Ausgangsregeln für Sicherheitsgruppen ermöglichen die Angabe von "Ziel", nicht Quelle. Im Grunde brauchen Sie sich keine Sorgen zu machen, wenn Sie den Denial-of-Server durch die ausgehenden Regeln attackieren.
Auf der anderen Seite, wenn Ihr Webserver keine Verbindung zum Internet ohne Einschränkung herstellen muss, dann setzen Sie 80 + 443 Ziel auf 0.0.0.0/0.
Wenn Ihr Webserver nur eine Verbindung zu Betriebssystem-Repositorys für Sicherheitsupdates herstellen muss (z. B. Ubuntu, Apache usw.), können Sie die IP-Adresse des Repositorys explizit angeben, anstatt 0.0.0.0/0 zu verwenden.
Ansonsten besteht nur ein geringes Risiko. Es sei denn, Sie laden etwas, das die Webseite darstellt, z. laden Web-Browser in den Webserver, die zufällige Webseite lesen, dann machen Sie anfällig für Browser/Java-Engine/Rendering Engine Exploit: wenn Exploit so etwas wie ssh Reverse Tunnel ausführen kann, dann gibt es Möglichkeiten, dass Angreifer Zugriff auf Ihren Webserver erhalten .
Was funktioniert nicht ordnungsgemäß, wenn in der EC2-Instanz nicht der gesamte ausgehende Verkehr geöffnet ist? –
Ich erinnere mich, dass ich Ajax-Probleme beim Login hatte und viele seltsame CSS-Fehlfunktionen. – Bob