Acls de rețea blochează și traficul inter-subrețea?

Am VM plasate în diferite AZ-uri pe AWS.Pentru a putea face acest lucru, aveți nevoie de o subrețea în fiecare AZ.

Dacă creez un acl de rețea pentru întreaga configurație (adică să fie asociat cu toate subrețelele) trebuie să specific regulile de permis din toate intervalele CIDR de subrețea? Dacă nu o fac, acl de rețea va bloca traficul inter-subrețea pe baza regulilor mele de port?

Presupun că vor... dar vreau confirmare.

Cred că răspunsul de la Ron este corect, dar nu răspunde la întrebarea ta.

Dacă aveți instanțe în mai multe subrețele și instanțele dvs. trebuie să comunice NACL-urile dvs. trebuie să țină cont de acest lucru cu reguli de autorizare. Nu am testat acest lucru, dar am lucrat cu AWS de mult timp și sunt destul de sigur că acesta este modul în care funcționează.

Interesant, grupurile de securitate sunt un firewall care poate fi considerat ca în jurul fiecărei interfețe de rețea. Deci, dacă doriți ca instanțe dintr-un grup de securitate să comunice, aveți nevoie de o regulă care să permită intrarea din grupul de securitate în sine.

Răspunsuri la comentarii la întrebări:

Porturi Trebuie doar să deschideți porturile 80 / 443 pe grupul dvs. de securitate web server. Partea 1024 - 65535 este porturi efemere, pe care ar trebui să le citiți dacă doriți să le înțelegeți. Începe cu Wikipedia dar apoi treceți la ceva mai ușor de înțeles dacă aveți nevoie.

Inspector AWS Această pagină spune urmatoarele

Agentul Amazon Inspector inițiază toate comunicările cu Amazon Serviciul de inspectori. Aceasta înseamnă că agentul trebuie să aibă o ieșire calea rețelei către punctele finale publice, astfel încât să poată trimite date de telemetrie. De exemplu, agentul s-ar putea conecta la arsenal..amazonaws.com sau punctul final ar putea fi un Amazon S3 găleată la s3.dualstack..amazonaws.com. Asigurați-vă că înlocuiți cu regiunea AWS reală în care rulați Amazon Inspector. Pentru mai multe informații, consultați Intervale de adrese IP AWS. pentru că toate conexiunile de la agent sunt stabilite în ieșire, nu este este necesar să deschideți porturi în grupurile dvs. de securitate pentru a permite intrarea comunicări către agent de la Amazon Inspector.

În general, se recomandă să lăsați ACL-urile de rețea la setările implicite „Permite toate” și să le utilizați Grupuri de securitate pentru securitatea rețelei.

A NACL reprezintă un router tradițional care plasează între subrețele, controlând ce trafic intră/iese din subrețea. Regulile NACL sunt Fara stare, ceea ce înseamnă că acestea trebuie definite în ambele sensuri. NACL-urile se aplică numai traficului care circulă între subrețele.

Grupuri de securitate reprezintă o nouă inovație în cloud computing. Sunt un firewall pentru fiecare resursă individuală din VPC (mai precis, pe fiecare interfață de rețea elastică). Acest lucru permite un control de securitate mult mai fin. Regulile sunt cu stare, adică acele cereri trimise afară va permite automat să vină un răspuns în.

Grupurile de securitate se pot referi, de asemenea, unele la altele. De exemplu, luați în considerare o instanță Amazon EC2 și o bază de date Amazon RDS. Un grup de securitate poate fi plasat pe instanța EC2, permițând traficul web de intrare. Un grup de securitate poate fi plasat pe instanța RDS, permițând interogări SQL de intrare numai din grupul de securitate asociat cu instanța EC2. Acest lucru este mult mai precis decât regulile NACL.

Concluzia este:

• Utilizați întotdeauna grupurile de securitate de intrare pentru a asigura resursele
• Opțional limitați grupurile de securitate de ieșire (deoarece puteți avea de obicei încredere în aplicațiile care rulează pe o instanță)
• Nu modificați regulile NACL, cu excepția cazului în care aveți o nevoie de securitate foarte specifică, cum ar fi crearea unui DMZ