Обхід межі правила ACL мережі AWS

Як максимум, до мережі ACL VPC може застосовуватися 40 правил.

У мене є список із понад 50 IP-адрес, до яких мені потрібно явно блокувати доступ у наших системах, через будь-який порт і будь-який протокол. Це ідеальна мета для ACL, але межа перешкоджає мені виконувати це завдання.

Звичайно, я можу це зробити в IPTables на кожному хості, але я хочу заблокувати будь-який і весь трафік для всіх компонентів VPC (наприклад, для ELB). Крім того, набагато ідеальніше керувати цими правилами в одному місці, а не на кожному хості.

Сподіваюся, що я не розумію цього на рівні системи / платформи. Групи безпеки чітко дозволяють, без жодних заперечень, тому вони не робитимуть трюку.

Ось ідея лівого поля. Ви можете "пропустити маршрут" 50 заблокованих IP-адрес, додавши "зламаний" маршрут до таблиці маршрутів VPC для кожного IP.

Це не завадить трафіку IP-адрес потрапляти на вашу інфраструктуру (лише NACL та SGs запобігатимуть це), але це запобігає поверненню трафіку від кожного, що робить його "назад додому".

Неможливо збільшити ліміт на NACL, і велика кількість правил NACL впливає на продуктивність мережі.

Ви можете мати архітектурне питання перш за все.

1. Чи мають ваші екземпляри бути у загальнодоступних підмережах?
2. Ви встановили NAT-шлюзи для обмеження вхідного трафіку?
3. Для тих випадків, які повинні бути у загальнодоступних підмережах, чи є у вас мінімальні правила вхідної групи безпеки?
4. Чи використовуєте Ви умови відповідності IP- WAF AWS для блокування небажаного трафіку до CloudFront та ваших навантажувачів?

Якщо ви досягаєте ліміту правил NACL, це, швидше за все, ви не застосовуєте рекомендований AWS підхід до архітектури VPC та використовуєте такі сервіси, як WAF (та Shield for DDoS) для блокування небажаного трафіку та явних атак.

Якщо вас турбують DDoS-атаки: як допомогти захистити динамічні веб-програми від DDoS-атак за допомогою Amazon CloudFront та Amazon Route 53

Це не зовсім те, про що ви просили, але це може зробити роботу досить добре.

Налаштуйте CloudFront перед вашою інфраструктурою. Використовуйте умови відповідності IP для ефективного блокування трафіку. CloudFront працює як зі статичним, так і з динамічним вмістом і може прискорювати динамічний контент, оскільки він використовує магістраль AWS, а не загальнодоступний Інтернет. Ось що кажуть документи

Якщо ви хочете дозволити деякі веб-запити та заблокувати інші на основі IP-адрес, з яких походять запити, створіть умову відповідності IP для IP-адрес, які ви хочете дозволити, та іншу умову відповідності IP-адрес для IP-адрес, які ви хочете заблокувати. .

Під час використання CloudFront вам слід заблокувати прямий доступ до будь-яких публічних ресурсів за допомогою груп безпеки. Лямбда - AWS Оновлення груп безпеки буде тримати ваші групи безпеки до теперішнього часу , щоб дозволити CloudFront трафіку в але відкидає інші види трафіку. Якщо ви перенаправляєте http на https за допомогою CloudFront, ви можете трохи налаштувати сценарії, щоб http не потрапив у вашу інфраструктуру. Ви також можете додати білий список усіх IP-адрес, яким потрібен прямий доступ адміністратора.

Крім того, ви можете використовувати сторонні CDN, такі як CloudFlare. CloudFlare мають ефективний брандмауер, але для потрібної кількості правил це 200 доларів на місяць. Це може бути дешевше, ніж CloudFront, пропускна здатність AWS досить дорога. Безкоштовний план дає лише 5 правил брандмауера.