1. Zuhause
  2. Frage und Antwort
  3. EC2-Sicherheitsgruppe betreffen

EC2-Sicherheitsgruppe betreffen

2016-03-28 10 views
0

EC2 -> RDS:EC2-Sicherheitsgruppe betreffen

RDS (DB Motor): Ich habe inbound und outbound offen auf Port 3306 für die Sicherheitsgruppe des Web-Servers.

EC2 (Webserver): Ich habe eingehenden für 80, 443 und 22 (myIP). Outbound ist für 80.443 und 3306 offen, und es benötigt auch den gesamten Verkehr, um richtig zu funktionieren.

Meine Frage betrifft die ausgehenden Regeln meines Webservers. Warum muss der gesamte Verkehr geöffnet sein? Hat das Sicherheitsbedenken?

Quelle

2016-03-28 Bob

+1

Was funktioniert nicht ordnungsgemäß, wenn in der EC2-Instanz nicht der gesamte ausgehende Verkehr geöffnet ist? –

+0

Ich erinnere mich, dass ich Ajax-Probleme beim Login hatte und viele seltsame CSS-Fehlfunktionen. – Bob

Antwort

0

Einige Benutzer sperren ausgehende Daten, um Datenverlust zu vermeiden. Es funktioniert besser für unveränderliche Architektur, da Sie die Möglichkeit, Pakete aus öffentlichen Quellen zu aktualisieren, entfernt haben.

Offensichtlich können Sie Ihr eigenes Sicherheitsprofil wählen; allgemein gesprochen halte ich dies das Niveau der Sicherheit:

  1. Anschluss 22 offen für die Welt
  2. Hafen 22 Zugang von weißen Liste IPs
  3. Bastion Host mit weißen Liste IPs
  4. VPN (von hier nach unten, alle mit VPN)
  5. privaten IPs + NAT
  6. Proxies Server ausgehenden Zugriff

Das ist mein ec2-Sicherheitsreife-Modell. Ich bin mir sicher, dass ich etwas verpasst habe.

Quelle

2016-03-29 02:16:28 tedder42

+0

Tnx für Ihren Kommentar Zetter, Wie gehe ich eine VPN-Verbindung zu meiner VPC hinzufügen? Ist das nützlich, wenn EC2 und RDS beide in derselben VPC sind? – Bob

+0

VPN ist großartig. Es braucht jedoch etwas Arbeit, um es einzurichten. [Hier ist eine Komplettlösung] (http://envyandroid.com/setup-free-private-vpn-on-amazon-ec2/); Es war ein paar Tage Arbeit, um genau das einzurichten, was ich für mein Team brauchte. – tedder42

+0

Das ist eine gute Info ... Ich werde es einrichten, Danke ... – Bob

0

Die Ausgangsregeln für Sicherheitsgruppen ermöglichen die Angabe von "Ziel", nicht Quelle. Im Grunde brauchen Sie sich keine Sorgen zu machen, wenn Sie den Denial-of-Server durch die ausgehenden Regeln attackieren.

Auf der anderen Seite, wenn Ihr Webserver keine Verbindung zum Internet ohne Einschränkung herstellen muss, dann setzen Sie 80 + 443 Ziel auf 0.0.0.0/0.

Wenn Ihr Webserver nur eine Verbindung zu Betriebssystem-Repositorys für Sicherheitsupdates herstellen muss (z. B. Ubuntu, Apache usw.), können Sie die IP-Adresse des Repositorys explizit angeben, anstatt 0.0.0.0/0 zu verwenden.

Ansonsten besteht nur ein geringes Risiko. Es sei denn, Sie laden etwas, das die Webseite darstellt, z. laden Web-Browser in den Webserver, die zufällige Webseite lesen, dann machen Sie anfällig für Browser/Java-Engine/Rendering Engine Exploit: wenn Exploit so etwas wie ssh Reverse Tunnel ausführen kann, dann gibt es Möglichkeiten, dass Angreifer Zugriff auf Ihren Webserver erhalten .

Quelle

2016-03-29 16:56:17 mootmoot

+0

Tnx für die Info, ich habe eine Follow-up-Frage: Ich habe alle Verkehr in meinem Netzwerk ACL geöffnet.Soll ich die ACL-Regeln mit der Sicherheitsgruppe für Webserver identisch machen? – Bob

+0

Sie haben möglicherweise eine Route-Tabelle, die Verbindung zwischen Subnetz zu verbreiten., NACL ist nur feinkörnige Firewall AMONG Ihre VPC-Subnetze, einige Standard-Routing-Verbindung zwischen Subnetz zu beschränken, würde ich NACL nicht stören, wenn ich viele Instanzen habe und ich nicht will einige Beispiele sehen sich auch. – mootmoot

+0

danke für deine Vorschläge mootmoot ... – Bob

Verwandte Themen

 Verwandte Themen