Ausgehende Verkehrsregeln von EC2-Instanzen bei Verwendung von ECS schützen

Question

Auch wenn ich EC2-Instanzen in einem privaten Subnetz erstelle, müssen sie in der Lage sein, Datenverkehr an das Internet zu senden, wenn ich sie in einem ECS-Cluster registrieren möchte.

Ich benutze ein NAT-Gateway, um dies zu tun, aber ich bin immer noch unsicher, dass die Instanzen private Informationen überall im Falle einer Übernahme senden können.

Was wäre der kompakteste CIDR-Bereich, den ich für die Sicherheitsgruppe der Instanzen anstelle von 0.0.0.0/0 verwenden kann?

Answer 1

Im Moment müssen Sie sich möglicherweise auf die list of public IP address ranges for AWS verlassen, die den Datenverkehr für alle CIDR-Blöcke erlaubt, die Ihrer Region zugeordnet sind.

Teil des Entwurfs für Elastizität viel von dem, was AWS tut beruht auf der Fähigkeit ihrer Service-Endpunkte nicht auf statische Adresse assigments abhängen und stattdessen die Verwendung von DNS ... aber ihre Service-Endpunkte immer auf Adressen sein sollte zugeordnet mit Ihrer Region, da sehr wenige Dienste ihre Praxis streng regionale Trennung der Service-Infrastruktur verletzen.

(Cloudfront, Route 53 und IAM tun, vielleicht andere, aber diese sind Provisioning-Endpunkte, nicht betriebs diejenigen. Diese Provisioning-only-Endpunkte müssen nicht zugänglich sein für die meisten Anwendungen, normal funktionieren.)

Answer 2

Ein sehr häufiges Muster besteht darin, einen Proxy in einer engen CIDR zu erstellen und nur den ausgehenden Datenverkehr durch den Proxy zu leiten. AWS-Endpunkte auflisten und den gesamten Datenverkehr, der durch den Proxy fließt, protokollieren und überwachen/überwachen.

AWS Endpunkte = https://docs.aws.amazon.com/general/latest/gr/rande.html