Acls mạng có chặn lưu lượng truy cập giữa các mạng con không?

Tôi có các máy ảo được đặt ở các Vùng sẵn sàng khác nhau trên AWS.Để có thể làm được điều này, bạn cần có một mạng con trong mỗi AZ.

Nếu tôi đang tạo một acl mạng cho toàn bộ thiết lập (nghĩa là được liên kết với tất cả các mạng con), tôi có cần chỉ định các quy tắc cho phép từ tất cả các phạm vi CIDR của mạng con không? Nếu không, acl mạng có chặn lưu lượng truy cập giữa các mạng con dựa trên quy tắc cổng của tôi không?

Tôi cho rằng họ sẽ...nhưng muốn xác nhận.

Tôi tin rằng câu trả lời từ Ron là chính xác, nhưng không trả lời câu hỏi của bạn.

Nếu bạn có các phiên bản trong nhiều mạng con và các phiên bản của bạn cần giao tiếp thì NACL của bạn cần tính đến điều này bằng các quy tắc cho phép. Tôi chưa kiểm tra điều này, nhưng tôi đã làm việc với AWS trong một thời gian dài và tôi khá chắc chắn rằng đây là cách nó hoạt động.

Thật thú vị, các nhóm bảo mật là một tường lửa có thể được coi là xung quanh mỗi giao diện mạng. Vì vậy, nếu bạn muốn các phiên bản trong một nhóm bảo mật giao tiếp với nhau, bạn cần có một quy tắc để cho phép sự xâm nhập từ chính nhóm bảo mật đó.

Câu trả lời cho ý kiến ​​​​trong câu hỏi:

cổng Bạn chỉ cần mở cổng 80/443 trên nhóm bảo mật máy chủ web của mình. Phần 1024 - 65535 là các cổng tạm thời, bạn nên đọc phần này nếu muốn hiểu về chúng. Bắt đầu với Wikipedia nhưng sau đó chuyển sang thứ gì đó dễ hiểu hơn nếu bạn cần.

Thanh tra AWS Trang này nói như sau

Tác nhân Thanh tra Amazon bắt đầu tất cả giao tiếp với Amazon Dịch vụ thanh tra. Điều này có nghĩa là các đại lý phải có một outbound đường dẫn mạng đến các điểm cuối công cộng để nó có thể gửi dữ liệu từ xa. Ví dụ, tác nhân có thể kết nối với Arsenal..amazonaws.com hoặc điểm cuối có thể là Amazon S3 nhóm tại s3.dualstack..amazonaws.com. Đảm bảo thay thế với Khu vực AWS thực tế nơi bạn đang điều hành Amazon Thanh tra. Để biết thêm thông tin, hãy xem Dải địa chỉ IP AWS. Bởi vì tất cả các kết nối từ đại lý được thiết lập bên ngoài, nó không phải là cần thiết để mở các cổng trong nhóm bảo mật của bạn để cho phép thư đến thông tin liên lạc đến đại lý từ Amazon Inspector.

Nói chung, bạn nên để ACL mạng ở cài đặt "Cho phép tất cả" mặc định và thay vào đó hãy sử dụng Nhóm bảo mật cho an ninh mạng.

Một NACL đại diện cho một bộ định tuyến truyền thống định vị giữa các mạng con, kiểm soát lưu lượng đi vào/ra khỏi mạng con. Quy tắc NACL là không quốc tịch, nghĩa là chúng cần được xác định trong cả hai hướng. NACL chỉ áp dụng cho lưu lượng truy cập đi ở giữa mạng con.

Nhóm bảo mật là một cải tiến mới trong điện toán đám mây. Chúng là tường lửa trên từng tài nguyên riêng lẻ trong VPC (chính xác hơn là trên từng Giao diện mạng đàn hồi). Điều này cho phép kiểm soát an ninh chi tiết hơn nhiều. quy tắc là có trạng thái, nghĩa là yêu cầu đã gửi ngoài sẽ tự động cho phép phản hồi đến Trong.

Nhóm bảo mật cũng có thể tham khảo lẫn nhau. Ví dụ: hãy xem xét phiên bản Amazon EC2 và cơ sở dữ liệu Amazon RDS. Một nhóm bảo mật có thể được đặt trên phiên bản EC2 cho phép lưu lượng truy cập web đến. Một nhóm bảo mật có thể được đặt trên phiên bản RDS cho phép truy vấn SQL đến chỉ từ nhóm bảo mật được liên kết với phiên bản EC2. Điều này chính xác hơn nhiều so với các quy tắc NACL.

Điểm mấu chốt là:

• Luôn sử dụng Nhóm bảo mật gửi đến để đảm bảo tài nguyên
• tùy chọn giới hạn Outbound Security Groups (vì bạn thường có thể tin tưởng các ứng dụng đang chạy trên một phiên bản)
• Chẳng bao giờ thay đổi quy tắc NACL trừ khi bạn có nhu cầu bảo mật rất cụ thể, chẳng hạn như tạo DMZ