1. дома
  2. Вопрос и ответ
  3. AWS Security Group для RDS - Исходящие правила

AWS Security Group для RDS - Исходящие правила

2016-11-03 2 views
0

У меня есть группа безопасности, назначенная экземпляру RDS, которая передает трафик порта 5432 из наших экземпляров EC2.AWS Security Group для RDS - Исходящие правила

Однако эта группа безопасности имеет весь исходящий трафик для всего трафика для всех IP-адресов.

Это риск для безопасности? Каким должно быть идеальное правило безопасности исходящих сообщений? В моей перспективе исходящий трафик для группы безопасности RDS должен быть ограничен портом 5432 для наших экземпляров EC2, верно ли это?

источник

2016-11-03 Manoj M J

+0

Исходящий означает, что машина с этим SG может подключаться к любой внешней машине на специально разрешенном порту. Таким образом, это должно быть разрешительным. – hjpotter92

+0

@ hjpotter92, но ему не нужно общаться ни с чем другим, кроме нашего экземпляра ec2. Так что я должен изменить текущее правило исходящего трафика, которое разрешает трафик в любом месте? –

+0

@ManojMJ экземпляры ec2 иногда необходимо исправлять и/или обращаться к другим репозиториям за пределами вашей локальной сети. если вы не чувствуете себя хорошо в разрешении доступа ко всему, где угодно, просто разрешите исходящий HTTP (порт 80) и HTTPS (порт 443). Я успешно использовал эту конфигурацию в течение многих лет. –

ответ

1

При использовании безопасности Goups (в отличие от правил ACL) весь входящий трафик разрешен автоматически в исходящий трафик, так исходящих правил может быть пустым в вашем случае.

Это риск для безопасности? Какая должна быть идеальная исходящая безопасность? правило? На мой взгляд, исходящий трафик для группы безопасности RDS должен быть ограничен портом 5432 для наших экземпляров EC2, так это ?

Это только риск, если RDS находится в общественной подсети внутри вашего VPC.

Рекомендации помогут в вашем сценарии иметь общедоступную подсеть на вашем веб-сервере и частную подсеть для всех частных ресурсов (RDS, другие частные службы и т. Д.).

enter image description here

Как вы можете видеть на изображении, на котором размещены RDS внутри частной подсети нет никакого способа, чтобы получить доступ к нему из-за пределов VPC

источник

2016-11-03 09:14:22 siomes

+0

По умолчанию весь входящий трафик ограничен, а трафик исходящего трафика разрешен. – Ali

2

По умолчанию все группы безопасности Amazon EC2:

  • Запретить все въездной трафика
  • Разрешить все исходящего трафика

Вы должны настроить группы безопасности, чтобы разрешить входящий трафик . Такая конфигурация должна быть ограничена минимально возможной областью. То есть необходимо минимальное количество необходимых протоколов и минимальные диапазоны IP-адресов.

Исходящий доступ, однако, традиционно хранится открытым. Причина этого в том, что вы обычно «доверяете» своим собственным системам. Если они хотят получить доступ к внешним ресурсам, пусть они это делают.

Вы всегда можете ограничить доступ к исходящим сообщениям, особенно для чувствительных систем. Однако определение того, какие порты должны оставаться открытыми, может быть проблемой. Например, экземпляры могут захотеть загрузить обновления операционной системы, получить доступ к Amazon S3 или отправить электронные письма.

источник

2016-11-03 09:17:29

1

Какое должно быть идеальное правило безопасности исходящих сообщений? На мой взгляд, исходящий трафик для группы безопасности RDS должен быть ограничен портами 5432 для наших экземпляров EC2, верно ли это?

Это хорошая идея иметь четкий контроль над исходящими соединениями.

В вашей группе RDS: удалить все правила исходящих сообщений (по умолчанию существует правило, которое позволяет исходящие подключения ко всем портам и IP-адресам -> просто удалить это правило «все в любом месте»).

Ваша БД будет получать входящие запросы через порт 5432 из вашего экземпляра EC2, а RDS ответит обратно на ваш экземпляр EC2 через одно и то же соединение, в этом случае вообще не нужно определять исходящие правила.

источник

2017-04-24 15:37:59

Смежные вопросы

 Смежные вопросы