Безопасно разрешить входящий возврат из вызовов api
Безопасно ли открывать правило входящего брандмауэра из источника 0.0.0.0/0 для получения входящего обратного трафика IPv4 из Интернета (мне это нужно только для запросов, исходящих из подсети)?
Я создаю частное приложение, которое работает с несколькими API с веб-сайтов, я хочу иметь возможность получать информацию о моих вызовах от этих API, но остальная часть моей системы и файлы не должны быть доступны из Интернета.
Я создал Inbound Пользовательское правило TCP для диапазона портов протокола TCP (6) 1024-65535 из источника 0.0.0. 0/0
Другие настройки брандмауэра, которые у меня есть: входящий разрешен по SSH только с выделенного IP-адреса (так что я могу подключиться к домашнему компьютеру) и исходящий HTTP и HTTPS для выполнения вызовов API.
Боюсь, что я открываю порт для всех видов трафика и потенциальных злоумышленников с этой настройкой. Я получил это предложение правила отсюда aws doc # 140 inbound и поместил его в правила для входящих подключений моей группы безопасности. Если это небезопасно, я думаю, мне нужно создать систему с отдельным экземпляром, чтобы получать эту информацию, а затем пересылать на более частный экземпляр, однако я не хочу терять скорость и уверенность, если в этом нет необходимости.
Документ, который вы подключили, предназначен для вашей VPC сети ACL, а не для вашего конкретного экземпляра. Вы должны открыть Эфемерные порты в этом ACL. Однако, вашему экземпляру нужны только открытые порты для запросов, которые исходят извне (например, SSH). Если запрос исходит от вашего экземпляра, вам не нужно открывать никаких дополнительных правил группы безопасности , просто убедитесь, что ваше правило выхода позволяет вам делать запросы к чему угодно.
.