Вопросы Теги

NACL и шлюзы NAT для общедоступных и частных подсетей

У меня есть VPC с 3 подсетями:

  1. Общедоступный (уровень FE, только входящий доступ в Интернет)
  2. Защищенный (уровень приложения, только исходящий доступ в Интернет)
  3. Частный (уровень БД, доступ в Интернет вообще отсутствует)

NACL общедоступной подсети блокирует все входящие из Интернета на любые порты, кроме 443.

NACL частной подсети блокирует все входящие и из Интернета.

NACL для защищенной подсети должен разрешать:

  • исходящий с 443 по 0.0.0.0/0 для исходящих интернет-запросов https
  • входящий с 0.0.0.0/0 на 1024-65535 для ответов на эти запросы

Защищенная подсеть направляет в Интернет через шлюз NAT , который находится в общедоступной подсети.

Проблема заключается в следующем: исходящий трафик из защищенной подсети в Интернет работает только в том случае, если открыт NACL для общедоступной подсети, разрешающий входящий трафик на портах 1024–65535. трафик проходит через общедоступную подсеть (поскольку именно там находится шлюз NAT).

Таким образом, я могу открыть NACL для общедоступной подсети (входящий с 0.0.0.0/0 на 1024-65535), но это делает его менее безопасным ; фактически, если я открываю все эти порты, я могу вообще не беспокоиться о NACL (очевидно, я также использую группы безопасности).

Я что-то упускаю?

0
задан 1 August 2020 в 01:14
1 ответ

NACL не имеют гражданства. Вы обнаружили, что вам нужно открыть Эфемерные порты, чтобы разрешить трафик обратно в вашу подсеть. Почитайте что-нибудь об эфемерных портах.

Обычно лучше использовать группы безопасности, а не NACL, поскольку они сохраняют состояние и автоматически обслуживают эфемерные порты. Вы можете использовать оба, если хотите.

Обычно я использую только две подсети, общедоступную и частную. Общедоступный имеет только шлюз NAT или балансировщик нагрузки, и эта подсеть допускает общедоступные IP-адреса. В частной подсети есть все внутренние ресурсы, и я использую группы безопасности, а не подсети.

Например, создайте группу безопасности для веб-серверов, группу безопасности для серверов приложений и группу безопасности для серверов баз данных, а затем разрешите доступ между группами безопасности к нужным вам портам.

IE:

  • Веб-сервер SG принимает трафик от 0.0.0.0/0 на 443
  • Сервер приложений SG принимает трафик только из подсети веб-сервера на 443 и разрешает исходящий трафик в базу данных SG
  • База данных SG разрешает трафик только через порт 3306 с сервера приложений SG
0
ответ дан 1 August 2020 в 01:38

Теги

Похожие вопросы