即使我在私有子網中創建EC2實例,如果要將流量註冊到ECS羣集,它們也必須能夠將流量發送到Internet。使用ECS時保護EC2實例的出站流量規則
我正在使用NAT網關來做到這一點,但我仍然覺得這些實例在接管的情況下可以將私人信息發送到任何地方。
什麼是我可以用於實例安全組的最緊湊的CIDR範圍,而不是0.0.0.0/0?
即使我在私有子網中創建EC2實例,如果要將流量註冊到ECS羣集,它們也必須能夠將流量發送到Internet。使用ECS時保護EC2實例的出站流量規則
我正在使用NAT網關來做到這一點,但我仍然覺得這些實例在接管的情況下可以將私人信息發送到任何地方。
什麼是我可以用於實例安全組的最緊湊的CIDR範圍,而不是0.0.0.0/0?
目前,您可能不得不依靠list of public IP address ranges for AWS,允許所有與您所在地區相關的CIDR塊的流量限制。
對於很多東西,AWS不依賴於他們的服務端點不依靠靜態地址assigments,而是使用DNS的能力彈性設計的一部分......但他們的服務端點應該永遠是地址關聯與您的地區,因爲很少有服務違反他們的做法嚴格區域分離的服務基礎設施。
(CloudFront的,路線53和IAM做,也許別人,但這些供應端點,不可操作的。這些配置只端點並不需要被訪問對於大多數應用程序正常運行。)
好的答案Michael,不知道公開可用的AWS地址範圍列表,這非常方便。 –
這裏的一個超級通用模式是在狹窄的CIDR中創建代理,並且只允許出站流量通過代理。將AWS端點列入白名單並記錄流經代理的所有流量以進行監視/審計。
AWS終點= https://docs.aws.amazon.com/general/latest/gr/rande.html
似乎類似的功能將可使用soonish VPC端點,您可以創建端點後,你將限制出站流量到特定的服務:http://docs.aws.amazon.com/ AmazonVPC/latest/UserGuide/vpc-endpoints.html#vpc-endpoints-security –