Tham gia Đăng nhập
Điểm:0
avatar Server

Chỉ cho phép truy cập vào EC2 từ 1 quốc gia

lá cờ ve
amolkul

Tôi cần hạn chế quyền truy cập vào các cổng http(s) và pop/imap của phiên bản EC2 ở một quốc gia. Đó là một yêu cầu từ kiểm toán viên an ninh. Nó sẽ không ngăn truy cập qua vpn, nhưng ít nhất nó sẽ không được mở trực tiếp.

Có 2 câu hỏi ở đây về cùng một chủ đề: Nhóm bảo mật AWS EC2 Chỉ truy cập SSH từ Hoa Kỳ,

Truy cập web của Nhóm bảo mật AWS EC2 từ một quốc gia?

Các câu trả lời trong cả hai đều yêu cầu thêm các khối mạng của quốc gia trong Nhóm bảo mật. Tôi muốn biết nếu có ai đã thực hiện nó trong sản xuất?

Với giới hạn 50 quy tắc cho mỗi nhóm bảo mật và 5 nhóm bảo mật cho mỗi phiên bản, liệu có thể thêm tất cả các khối mạng vào nhóm bảo mật không?

Các khối có thay đổi thường xuyên không? Chúng ta có cần tự động hóa để kiểm tra và cập nhật hàng ngày không?

Cuối cùng, có giải pháp nào tốt hơn bằng cách sử dụng các tính năng/dịch vụ gốc của AWS - có thể là sử dụng Tường lửa mạng AWS không?

136
0 + 0
Tim avatar
lá cờ gp
Tim
Điều này sẽ khó thực hiện. Đề nghị bạn chỉnh sửa câu hỏi của mình để bao gồm thêm chi tiết và bức tranh toàn cảnh, "chúng tôi muốn hạn chế lưu lượng SSH ở một quốc gia vì (lý do) với độ chính xác 99%" vì bạn có thể nhận được nhiều câu trả lời hữu ích hơn. Hạn chế IP với các nhóm bảo mật sẽ không hoạt động. Bạn sẽ cần mua cơ sở dữ liệu hạn chế IP, sử dụng mã quốc gia CloudFlare hoặc sử dụng thông tin vị trí do CloudFront cung cấp nếu đó là hạn chế https, được tích hợp với fail2ban hoặc tương tự. Khi chúng tôi hiểu vấn đề, chúng tôi có thể đề xuất một giải pháp thay thế.
2
Hồi đáp
lá cờ ve
amolkul
@tim Chúng tôi cần chặn (các) giao thức email và http để loại bỏ khả năng email được truy cập từ bên ngoài quốc gia vì đây là yêu cầu của kiểm toán viên bảo mật. Tôi đoán độ chính xác phải trên 90 để người dùng cuối hợp lệ không bị chặn hàng ngày.
0
Hồi đáp
Tim avatar
lá cờ gp
Tim
Vui lòng chỉnh sửa câu hỏi của bạn để bao gồm chi tiết đó.Vui lòng làm rõ yêu cầu về email - bạn chỉ muốn nhận email từ những người ở một quốc gia? Điều đó sẽ khó khăn vì việc ai đó ở (giả sử) Hoa Kỳ sử dụng máy chủ email ở Thụy Sĩ là hoàn toàn hợp lệ. http(s) thật dễ dàng, hãy sử dụng CloudFront. Bạn không thể loại bỏ btw, bạn chỉ có thể giảm rủi ro, VPN dễ dàng vượt qua các khối dựa trên IP.
0
Hồi đáp
Điểm:0
avatar Server
lá cờ cn
Martin

Có lẽ cách tốt nhất là chỉ cho phép một số IP kết nối với máy chủ HOẶC thực hiện công việc trực tiếp trong ứng dụng của bạn (như ip này không được bản địa hóa ở quốc gia này, tôi từ chối quyền truy cập)

Nhưng hãy nhớ rằng người dùng từ các quốc gia khác vẫn có thể sử dụng VPN để giả mạo bản địa hóa của họ. Vì vậy, bằng cách chỉ giới hạn ở IP là hạn chế tốt nhất bạn có thể có!

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.