Защита правил исходящего трафика от экземпляров EC2 при использовании ECS

Question

Даже когда я создаю экземпляры EC2 в частной подсети, они должны иметь возможность отправлять трафик в Интернет, если я хочу зарегистрировать их в кластере ECS.

Я использую шлюз NAT для этого, но я все еще чувствую себя неуверенно, что экземпляры могут отправлять личную информацию в любом месте в случае захвата.

Какой будет самый компактный диапазон CIDR, который я могу использовать для группы безопасности экземпляров, вместо 0.0.0.0/0?

Answer 1

На данный момент вам, возможно, придется полагаться на list of public IP address ranges for AWS, что позволяет трафику привязываться ко всем CIDR-блокам, связанным с вашим регионом.

Часть конструкции для упругости много того, что AWS делает зависит от способности их конечных точек службы не зависеть от статических адресов assigments и вместо того, чтобы использовать DNS ... но их конечные точки службы всегда должно быть на адреса, связанные с вашим регионом, поскольку очень немногие службы нарушают их практику строгого регионального разделения инфраструктуры обслуживания.

(CloudFront, Route 53, и IAM делать, может быть, другие, но это Provisioning конечные точки, а не операционные те. Эти провизий-только конечные точки не должны быть доступны для большинства приложений, чтобы нормально функционировать.)

Answer 2

Супер общий шаблон здесь заключается в создании прокси-сервера в узком CIDR и разрешении потока исходящего трафика через прокси-сервер. Белые списки AWS конечных точек и регистрировать весь трафик, проходящий через прокси для мониторинга/аудита.

AWS Endpoints = https://docs.aws.amazon.com/general/latest/gr/rande.html