0
EC2 - > RDS:EC2安全組關注
RDS(數據庫引擎):我對Web服務器的安全組端口3306的入站和出站開放。
EC2(Web服務器):我有入站打開爲80,443和22(myIP)。 Outbound對於80,443和3306是開放的,它也需要所有的流量才能正常運行。
我的問題是關於我的Web服務器的出站規則。爲什麼我需要所有的流量開放?這是否有任何安全問題?
Q
EC2安全組關注
A
回答
0
有些人鎖定出站以防止數據丟失。由於您已經刪除了從公共來源更新軟件包的能力,因此它適用於不可變的體系結構。
顯然你可以選擇你自己的安全配置文件;一般而言,我認爲這個安全級別:
- 22端口向世界開放
- 端口22次訪問的白名單的IP
- 堡壘主機與白名單的IP
- VPN(從這裏下來,全部採用VPN)
- 私有地址+ NAT
- 代理服務器的出站訪問
這是我的ec2安全成熟度模型。我確定我錯過了一些 - 請隨時評論下面。
0
安全組出站規則允許您指定「目標」,而不是源。基本上你不需要擔心通過出站規則被拒絕服務器攻擊。另一方面,除非您的Web服務器需要無限制地連接到互聯網,否則將80 + 443目標設置爲0.0.0.0/0。否則,如果您的Web服務器只需連接到操作系統存儲庫以進行安全更新(例如ubuntu,apache等),那麼您可以明確指定存儲庫IP地址,而不是使用0.0.0.0/0。
除此之外,幾乎沒有風險。除非您加載呈現網頁的內容,例如在讀取隨機網頁的Web服務器中加載Web瀏覽器,然後它會讓您容易受到瀏覽器/ Java引擎/渲染引擎的攻擊:如果exploit可以執行類似ssh reverse tunnel的內容,那麼攻擊者可能會訪問您的Web服務器。
相關問題
- 1. 安全組內部的EC2安全組
- 2. AWS EC2和VPC安全組
- 3. 關於ec2上的MongoDB的安全?
- 4. 安全橫切關注點
- 5. 如何將新創建的EC2安全組與實例關聯
- 6. Ansible AWS EC2安全組未更新
- 7. 安全組不與ec2不在vpc
- 8. AWS安全組 - 連接到EC2 RDS
- 9. 刪除EC2默認安全組
- 10. AWS EC2 - 更改安全組 - 錯誤
- 11. EC2端口9292過濾安全組
- 12. 爲什麼此RDS安全組不讓我的EC2安全組連接?
- 13. 文件上傳安全關注
- 14. CQRS應用橫切關注,如安全
- 15. AWS EC2檢查安全組錯誤「無法找到組」
- 16. 安全性:$ _SERVER數組SQL注入PHP
- 17. 爲什麼telnet和nmap不能反映ec2安全組關閉的端口?
- 18. 安全註釋 - 不能安全
- 19. Spring安全方法安全註釋
- 20. PHP註冊表單 - 安全和安全?
- 21. 安全註釋在春季安全
- 22. Symfony2:安全/安全登錄和註銷
- 23. '安全'DLL注入
- 24. CakePHP安全註銷
- 25. 是否在EC2實例本身上配置了AWS安全組?
- 26. 如何爲離子源設置Amazon EC2安全組?
- 27. 同一安全組中的EC2節點之間的流量
- 28. 使用boto ec2連接對象在VPC中創建安全組
- 29. 將Ansible變量替換爲EC2安全組規則
- 30. 帶有主機/動態IP/DNS的亞馬遜EC2安全組
如果EC2實例沒有打開所有出站通信,那麼該功能無法正常工作? –
我記得我登錄時遇到了Ajax問題,還有很多奇怪的CSS故障。 – Bob