Làm việc xung quanh giới hạn quy tắc ACL mạng AWS

Tối đa, ACL mạng VPC có thể có 40 quy tắc được áp dụng.

Tôi có một danh sách hơn 50 địa chỉ IP mà tôi cần chặn rõ ràng quyền truy cập vào hệ thống của chúng tôi, trên bất kỳ cổng và bất kỳ giao thức nào. Đây là một mục đích lý tưởng cho một ACL, nhưng giới hạn đang cản trở tôi hoàn thành nhiệm vụ này.

Tất nhiên, tôi có thể thực hiện điều này trong IPTables trên mỗi máy chủ, nhưng tôi muốn chặn bất kỳ và tất cả lưu lượng truy cập cho tất cả các thành phần trong VPC (ví dụ như ELB). Hơn nữa, lý tưởng hơn nhiều để quản lý các quy tắc này ở một nơi hơn là trên mỗi máy chủ.

Tôi hy vọng có một số cách tôi không hiểu làm điều này ở cấp độ hệ thống / nền tảng. Các nhóm bảo mật được cho phép rõ ràng, không có hành động từ chối, vì vậy họ sẽ không thực hiện thủ thuật này.

Đây là một ý tưởng trường bên trái .. bạn có thể định tuyến null null 50 IP bị chặn, bằng cách thêm một tuyến đường bị hỏng của Google vào bảng tuyến VPC cho mỗi IP.

Điều này sẽ không ngăn lưu lượng truy cập từ các IP tấn công cơ sở hạ tầng của bạn (chỉ có NACL và SG sẽ ngăn chặn điều đó), nhưng nó sẽ ngăn lưu lượng truy cập trở lại từ mỗi lần đưa nó trở về nhà.

Không có cách nào để tăng giới hạn đối với NACL và một số lượng lớn các quy tắc NACL ảnh hưởng đến hiệu suất mạng.

Bạn có thể có một vấn đề kiến ​​trúc trên tất cả.

1. Các trường hợp của bạn phải ở trong mạng con công cộng?
2. Bạn đã thiết lập các cổng NAT để hạn chế lưu lượng truy cập vào chưa?
3. Đối với những trường hợp phải có trong mạng con công cộng, bạn có quy tắc nhóm bảo mật trong nước tối thiểu không?
4. Bạn có đang sử dụng các điều kiện khớp IP AWS WAF để chặn lưu lượng truy cập không mong muốn vào CloudFront và Cân bằng tải của bạn không?

Nếu bạn đạt giới hạn quy tắc NACL thì rất có thể là do bạn không sử dụng phương pháp khuyến nghị AWS cho kiến ​​trúc VPC và sử dụng các dịch vụ như WAF (và Shield cho DDoS) để chặn lưu lượng truy cập không mong muốn và vượt qua các cuộc tấn công.

Nếu mối quan tâm của bạn là các cuộc tấn công DDoS: Cách giúp bảo vệ các ứng dụng web động chống lại các cuộc tấn công DDoS bằng cách sử dụng Amazon CloudFront và Amazon Route 53

Đây không phải là chính xác những gì bạn yêu cầu, nhưng có thể làm công việc đủ tốt.

Thiết lập CloudFront trước cơ sở hạ tầng của bạn. Sử dụng Điều kiện đối sánh IP để chặn lưu lượng hiệu quả. CloudFront hoạt động với cả nội dung tĩnh và động và có thể tăng tốc nội dung động vì nó sử dụng xương sống AWS thay vì internet công cộng. Đây là những gì các tài liệu nói

Nếu bạn muốn cho phép một số yêu cầu web và chặn những yêu cầu khác dựa trên địa chỉ IP mà yêu cầu bắt nguồn từ đó, hãy tạo điều kiện khớp IP cho các địa chỉ IP mà bạn muốn cho phép và một điều kiện khớp IP khác cho các địa chỉ IP mà bạn muốn chặn .

Khi sử dụng CloudFront, bạn nên chặn truy cập trực tiếp vào bất kỳ tài nguyên nào bằng các nhóm bảo mật. Các nhóm bảo mật cập nhật AWS lambda sẽ cập nhật các nhóm bảo mật của bạn để cho phép lưu lượng truy cập CloudFront nhưng từ chối lưu lượng truy cập khác. Nếu bạn chuyển hướng http sang https bằng CloudFront, bạn có thể điều chỉnh các tập lệnh một chút để ngăn http chạm vào cơ sở hạ tầng của bạn. Bạn cũng có thể đưa danh sách trắng bất kỳ IP nào cần truy cập quản trị viên trực tiếp.

Thay phiên, bạn có thể sử dụng CDN của bên thứ ba như CloudFlare. CloudFlare có một tường lửa hiệu quả, nhưng với số lượng quy tắc bạn muốn là $ 200 mỗi tháng. Điều đó có thể rẻ hơn CloudFront, băng thông AWS khá đắt. Gói miễn phí chỉ cung cấp cho bạn 5 quy tắc tường lửa.