EC2 - > RDS:EC2安全組關注
RDS(數據庫引擎):我對Web服務器的安全組端口3306的入站和出站開放。
EC2(Web服務器):我有入站打開爲80,443和22(myIP)。 Outbound對於80,443和3306是開放的,它也需要所有的流量才能正常運行。
我的問題是關於我的Web服務器的出站規則。爲什麼我需要所有的流量開放?這是否有任何安全問題?
EC2 - > RDS:EC2安全組關注
RDS(數據庫引擎):我對Web服務器的安全組端口3306的入站和出站開放。
EC2(Web服務器):我有入站打開爲80,443和22(myIP)。 Outbound對於80,443和3306是開放的,它也需要所有的流量才能正常運行。
我的問題是關於我的Web服務器的出站規則。爲什麼我需要所有的流量開放?這是否有任何安全問題?
有些人鎖定出站以防止數據丟失。由於您已經刪除了從公共來源更新軟件包的能力,因此它適用於不可變的體系結構。
顯然你可以選擇你自己的安全配置文件;一般而言,我認爲這個安全級別:
這是我的ec2安全成熟度模型。我確定我錯過了一些 - 請隨時評論下面。
安全組出站規則允許您指定「目標」,而不是源。基本上你不需要擔心通過出站規則被拒絕服務器攻擊。另一方面,除非您的Web服務器需要無限制地連接到互聯網,否則將80 + 443目標設置爲0.0.0.0/0。否則,如果您的Web服務器只需連接到操作系統存儲庫以進行安全更新(例如ubuntu,apache等),那麼您可以明確指定存儲庫IP地址,而不是使用0.0.0.0/0。
除此之外,幾乎沒有風險。除非您加載呈現網頁的內容,例如在讀取隨機網頁的Web服務器中加載Web瀏覽器,然後它會讓您容易受到瀏覽器/ Java引擎/渲染引擎的攻擊:如果exploit可以執行類似ssh reverse tunnel的內容,那麼攻擊者可能會訪問您的Web服務器。
如果EC2實例沒有打開所有出站通信,那麼該功能無法正常工作? –
我記得我登錄時遇到了Ajax問題,還有很多奇怪的CSS故障。 – Bob