Блокируют ли сетевые ACL трафик между подсетями?
У меня есть виртуальные машины, размещенные в разных зонах доступности на AWS. Для этого вам понадобится подсеть в каждой зоне доступности.
Если я создаю сетевой ACL для всей настройки (т. Е. Чтобы быть связанным со всеми подсетями), нужно ли мне указывать разрешающие правила для всех диапазонов CIDR подсети? Если я этого не сделаю, будет ли сетевой acl блокировать трафик между подсетями на основе моих правил порта?
Я предполагаю, что они будут ... но требуется подтверждение.
Сетевые ACL НЕ блокируют трафик внутри подсети. Вы можете рассматривать их так, как если бы они были применены к интерфейсу маршрутизатора в этой подсети. Таким образом, ACL влияет только на входящий и исходящий трафик из подсети.
В общем, рекомендуется оставить сетевые ACL с настройками по умолчанию «Разрешить все» и вместо этого использовать Группы безопасности для сетевой безопасности .
A NACL представляет собой традиционный маршрутизатор, который соединяется между подсетями, контролируя, какой трафик входит / выходит из подсети. Правила NACL не имеют состояния , что означает, что они должны быть определены в обоих направлениях . NACL применяются только к трафику, идущему между подсетями.
Группы безопасности - это новая инновация в облачных вычислениях. Они представляют собой брандмауэр на каждом отдельном ресурсе в VPC (точнее, на каждом эластичном сетевом интерфейсе). Это позволяет более детально контролировать безопасность. Правила с отслеживанием состояния , что означает, что запросы, отправленные out , автоматически разрешат приход ответа в .
Группы безопасности также могут ссылаться друг на друга. Например, рассмотрим инстанс Amazon EC2 и базу данных Amazon RDS. На инстансе EC2 можно разместить группу безопасности, разрешающую входящий веб-трафик. Группа безопасности может быть помещена в экземпляр RDS, разрешая входящие запросы SQL только от группы безопасности, связанной с экземпляром EC2 . Это намного точнее правил NACL.
Суть в следующем:
- Всегда используйте группы безопасности входящего трафика для защиты ресурсов
- Необязательно ограничивайте группы безопасности исходящего трафика (поскольку обычно вы можете доверять приложениям, работающим на экземпляре)
- Никогда измените правила NACL, если у вас нет особых требований безопасности, таких как создание DMZ
Я считаю, что ответ Рона правильный, но не отвечает на ваш вопрос.
Если у вас есть экземпляры в нескольких подсетях и вашим экземплярам нужно взаимодействовать, ваши NACL должны учитывать это с помощью разрешающих правил. Я не проверял это, но я долгое время работал с AWS и уверен, что это работает именно так.
Интересно, что группы безопасности представляют собой брандмауэр, который можно представить как брандмауэр вокруг каждого сетевого интерфейса. Поэтому, если вы хотите, чтобы экземпляры в группе безопасности обменивались данными, вам нужно правило, разрешающее вход из группы безопасности в нее саму.
Ответы на комментарии в вопросах:
Порты Вам нужно открыть только порты 80 / 443 в группе безопасности вашего веб-сервера. Часть 1024 - 65535 - это эфемерные порты, о которых вам следует почитать, если вы хотите их понять. Начните с Wikipedia, но затем перейдите к чему-то более легкому для понимания, если вам нужно.
AWS Inspector На этой странице говорится следующее
Агент Amazon Inspector инициирует все коммуникации со службой Amazon Inspector. Inspector. Это означает, что агент должен иметь исходящий сетевой путь к публичным конечным точкам, чтобы он мог отправлять данные телеметрии. Например, агент может подключиться к arsenal..amazonaws.com, или конечной точкой может быть Amazon S3 по адресу s3.dualstack.amazonaws.com. Обязательно замените на реальный регион AWS, в котором запущен Amazon Inspector. Для получения дополнительной информации смотрите раздел Диапазоны IP-адресов AWS. Поскольку все соединения от агента устанавливаются исходящим образом, нет необходимости нет необходимости открывать порты в группах безопасности, чтобы разрешить входящие соединения с агентом из Amazon Inspector.