Защита AWS ALB
Привет всем, я относительно новичок в веб-сервисах AWS и изо всех сил пытаюсь защитить ALB . Моя веб-страница работает очень просто: есть шлюз API, в котором определены методы, а затем у меня есть ALB, который балансирует вокруг N серверов. Я пытаюсь ограничить связь с серверами EC2 только из ALB, чтобы никто не мог получить к ним доступ напрямую, может кто-нибудь помочь мне узнать, можно ли этого достичь и как
С уважением
Это немного сложнее, чем вы ожидали, потому что ваш ALB может действительно изменить свой IP-адрес.
Лучший способ сделать это - создать VPC и разместить там свои экземпляры api. . VPC и подсеть должны быть общедоступными, но не давайте экземплярам API общедоступный IP-адрес. Это вариант при создании экземпляра. Убедитесь, что https-порт экземпляра может быть подключен кем-либо в VPC, чтобы проверки работоспособности ALB работали.
Создайте две группы безопасности:
- Первая группа безопасности, называемая чем-то вроде «ALBSecurityGroup», разрешает вход http (s) из 0.0.0.0/0. Поместите в это ALB. ALB должен находиться в общедоступной подсети с общедоступными IP-адресами.
- Вторая группа безопасности, называемая чем-то вроде "ServerSecurityGroup", разрешает вход http (s) из "ALBSecurityGroup". Поместите туда серверы. В идеале серверы должны находиться в частной подсети без назначенных общедоступных IP-адресов.
Если вы попытаетесь указать исходящие группы безопасности, вы можете попасть в циклические зависимости. Есть способы обойти это, но для новичка в AWS проще всего оставить выход открытым, если только вам не нужно ограничивать выход.
Вне AWS вы можете сделать это с помощью IPTables, но с тем же успехом можно использовать функции AWS. Я делаю нечто подобное, поскольку я запрещаю прямой доступ к своему веб-серверу, я заношу в белый список только свой статический домашний IP и диапазоны IP-адресов CloudFlare CDN.