злоумышленники обходят aws waf, чтобы напрямую перейти к экземплярам ec2.
Моя установка
У меня есть приложение Elastic Beanstalk с общедоступным LoadBalancer и общедоступными IP-адресами на EC2. Приложение находится за CloudFront, который защищен с помощью AWS WAF от различных атак, с которыми я сейчас сталкиваюсь. Маршрут 53 перенаправляет запросы DNS к CloudFront.
Моя проблема
WAF находится только на CloudFront. По-прежнему существует общедоступное DNS-имя Elastic Beanstalk, общедоступное DNS-имя эластичного балансировщика нагрузки и общедоступный IP-адрес экземпляра EC2. Злоумышленники атакуют их и обходят WAF.
Мой запрос
Мне не нужно ничего, кроме CloudFront, для доступа в Интернет. Как мне удалить все общедоступные DNS и IP-адреса из всех или хотя бы некоторых из этих ресурсов, чтобы они все еще работали? В идеале CloudFront пересылает запросы через внутренний домен Amazon.
То, что я пробовал
Я попытался установить для ELB частный режим на вкладке «Конфигурация сети BeanStalk», но это не удалось. Если для общедоступного IP-адреса установлено значение false, он просто перестает работать с ошибкой 502
Необходимо изменить группы безопасности поэтому, только дюйм/с CloudFront может связаться с сервером. Можно также добавить собственный IP-адрес в белый список. Они вводят, должен только впустить выбранные адреса.
Этот пример кода AWS обновит Вашу группу безопасности, когда IP-адреса CloudFront изменяются. Я подозреваю, что это сделает начальную настройку для Вас, после того как Вы развертываете функцию и создаете группы безопасности, которых это требует. Из-за количества диапазонов IP CloudFront имеет, он использует четыре группы безопасности, который прекрасен, можно связать их всех с подсистемой балансировки нагрузки и / или экземпляр EC2.
можно загрузить IP-адреса AWS здесь , фильтр на CLOUDFRONT для тех дюйм/с, если Вы хотите сделать это вручную. Остерегайтесь изменения диапазонов IP-адреса, которое оставило бы некоторые узлы CloudFront не могущими связаться с Вашим сервером, если Вы делаете это вручную.
Примечание, что Вы не можете использовать NACLs, поскольку у них есть слишком низкий предел. Интересная вещь, хотя, NACLs работают на аппаратных средствах экземпляра (возможно, карта Нитро теперь), но если Вы находитесь под DDOS, NACLs выставлен к CloudFront для отклонения трафика в краю. Я полагаю, что группы безопасности также работают на аппаратных средствах экземпляра или в nitro карте, но управляемый AWS, конечно.