AWS नेटवर्क ACL नियम सीमा के आसपास कार्य करना

अधिकतम पर, एक VPC नेटवर्क ACL में 40 नियम लागू हो सकते हैं।

मेरे पास 50 से अधिक आईपी पतों की एक सूची है जो मुझे स्पष्ट रूप से किसी भी बंदरगाह और किसी भी प्रोटोकॉल पर हमारे सिस्टम में पहुंच को ब्लॉक करने की आवश्यकता है। यह एक ACL के लिए एक आदर्श उद्देश्य है, लेकिन यह सीमा मुझे इस कार्य को पूरा करने में बाधा डाल रही है।

बेशक, मैं प्रत्येक होस्ट पर IPTables में ऐसा कर सकता हूं, लेकिन मैं किसी भी और सभी ट्रैफ़िक को VPC के सभी घटकों (उदाहरण के लिए ELB के लिए) को अवरुद्ध करना चाहता हूं। इसके अलावा यह कहीं अधिक आदर्श है कि इन नियमों को एक जगह पर प्रत्येक और हर मेजबान को प्रबंधित करें।

मैं उम्मीद कर रहा हूँ कि कोई ऐसा तरीका है जिसे मैं सिस्टम / प्लेटफ़ॉर्म स्तर पर ऐसा नहीं समझ रहा हूँ। सुरक्षा समूह स्पष्ट रूप से अनुमति देते हैं, जिसमें कोई इनकार नहीं किया जाता है, इसलिए वे चाल नहीं करेंगे।

यहाँ एक बाएं क्षेत्र का विचार है .. आप प्रत्येक आईपी के लिए VPC मार्ग तालिका में "टूटे हुए" मार्ग को जोड़कर, 50 अवरुद्ध आईपी को "शून्य-मार्ग" कर सकते हैं।

यह आपके बुनियादी ढांचे (केवल NACLs और SGs को रोकेगा) को रोकने वाले IP से ट्रैफ़िक को नहीं रोकेगा, लेकिन यह वापसी ट्रैफ़िक को "घर वापस" बनाने से रोकेगा।

एनएसीएल पर सीमा बढ़ाने का कोई तरीका नहीं है, और एनएसीएल नियमों की एक उच्च संख्या नेटवर्क प्रदर्शन को प्रभावित करती है।

आप सभी के ऊपर एक वास्तुशिल्प मुद्दा हो सकता है।

1. क्या आपके उदाहरण सार्वजनिक उपनेट में होने चाहिए?
2. क्या आपने इनबाउंड ट्रैफिक को सीमित करने के लिए NAT गेटवे स्थापित किए हैं?
3. उन उदाहरणों के लिए जो सार्वजनिक सबनेट में होने चाहिए, क्या आपके पास न्यूनतम इनबाउंड सुरक्षा समूह नियम हैं?
4. क्या आप CloudFront और आपके लोड Balancers को अवांछित ट्रैफ़िक ब्लॉक करने के लिए AWS WAF IP मैच की स्थितियों का उपयोग कर रहे हैं ?

यदि आप एनएसीएल नियम की सीमा को मार रहे हैं, तो इसकी सबसे अधिक संभावना है क्योंकि आप वीपीसी आर्किटेक्चर के लिए अनुशंसित एडब्ल्यूएस अनुशंसित तरीका नहीं ले रहे हैं और अवांछित ट्रैफिक और ओवरटेक हमलों को रोकने के लिए डब्ल्यूएएफ (और डीडीओएस के लिए शील्ड ) जैसी सेवाओं का उपयोग कर रहे हैं ।

अगर आपकी चिंता DDoS के हमलों की है: Amazon CloudFront और Amazon 53 का उपयोग करके DDoS हमलों के खिलाफ गतिशील वेब अनुप्रयोगों को सुरक्षित रखने में सहायता कैसे करें

यह वही नहीं है जो आपने मांगा था, लेकिन यह काम काफी अच्छी तरह से कर सकता है।

अपने बुनियादी ढांचे के सामने CloudFront सेट करें। ट्रैफ़िक को प्रभावी ढंग से अवरुद्ध करने के लिए आईपी ​​मैच की स्थितियों का उपयोग करें । CloudFront स्थिर और गतिशील सामग्री दोनों के साथ काम करती है, और गतिशील सामग्री को गति दे सकती है क्योंकि यह सार्वजनिक इंटरनेट के बजाय AWS बैकबोन का उपयोग करता है। यहाँ डॉक्स का कहना है

यदि आप कुछ वेब अनुरोधों की अनुमति देना चाहते हैं और जिन IP पतों के आधार पर दूसरों से अनुरोध करते हैं, उन्हें IP पतों के लिए एक IP मिलान स्थिति बनाएँ, जिसे आप अनुमति देना चाहते हैं और IP पतों के लिए एक और IP मिलान स्थिति जिसे आप ब्लॉक करना चाहते हैं, बनाएं। ।

क्लाउडफ्रंट का उपयोग करते समय आपको सुरक्षा समूहों का उपयोग करके किसी भी सार्वजनिक संसाधनों तक सीधी पहुंच को अवरुद्ध करना चाहिए। एडब्ल्यूएस अद्यतन सुरक्षा समूह लैम्ब्डा तारीख को अपनी सुरक्षा समूहों को रखेंगे में CloudFront यातायात देता है, लेकिन अन्य यातायात अस्वीकार करने के लिए। अगर आप http को https में CloudFront का उपयोग करके रीडायरेक्ट करते हैं तो आप अपने इन्फ्रास्ट्रक्चर को रोकने के लिए स्क्रिप्ट को थोड़ा ट्विट कर सकते हैं। आप किसी भी IP को श्वेतसूची में कर सकते हैं, जिसे सीधे व्यवस्थापक एक्सेस की आवश्यकता होती है।

वैकल्पिक रूप से, आप CloudFlare जैसे किसी तृतीय पक्ष CDN का उपयोग कर सकते हैं। CloudFlare में एक प्रभावी फ़ायरवॉल है, लेकिन नियमों की संख्या के लिए आप इसे प्रति माह 200 डॉलर चाहते हैं। यह CloudFront से सस्ता हो सकता है, AWS बैंडविड्थ काफी महंगा है। मुफ्त की योजना आपको केवल 5 फ़ायरवॉल नियम देती है।