înregistrare Logare
Puncte:0
avatar Server

Permiteți accesul la EC2 numai dintr-o țară

drapel ve
amolkul

Trebuie să restricționez accesul la porturile http(e) și pop/imap ale unei instanțe EC2 la o singură țară. Este o cerință din partea auditorului de securitate. Nu va împiedica accesul prin vpn, dar cel puțin nu va fi deschis direct.

Există 2 întrebări aici despre același subiect: Acces SSH AWS EC2 Security Group Numai din SUA,

Acces web AWS EC2 Security Group dintr-o singură țară?

Răspunsurile în ambele necesită adăugarea blocurilor de net ale țării în Security Group. As dori sa stiu daca cineva l-a implementat in productie?

Având în vedere limita de 50 de reguli per grup de securitate și 5 grupuri de securitate per instanță, este posibil să adăugați toate blocurile net în grupurile de securitate?

Se schimbă des blocurile? Avem nevoie de automatizare pentru a verifica și actualiza zilnic?

În cele din urmă, există o soluție mai bună folosind funcțiile/serviciile native AWS - poate fi utilizarea AWS Network Firewall?

136
0 + 0
Tim avatar
drapel gp
Tim
Acest lucru va fi dificil de implementat. Vă sugerăm să vă editați întrebarea pentru a include mai multe detalii și o imagine de ansamblu, „dorim să restricționăm traficul SSH într-o singură țară pentru că (motivul) cu o precizie de 99%”, deoarece s-ar putea să obțineți răspunsuri mai utile. Restricția IP cu grupuri de securitate nu va funcționa. Ar trebui să cumpărați o bază de date cu restricții IP, să utilizați coduri de țară CloudFlare sau să utilizați informații despre locație furnizate de CloudFront dacă este o restricție https, integrată cu fail2ban sau similar. Odată ce înțelegem problema, este posibil să putem sugera o soluție alternativă.
2
Răspunde
drapel ve
amolkul
@tim Trebuie să blocăm http(e) și protocoalele de e-mail pentru a elimina posibilitatea ca e-mailurile să fie accesate din afara țării, deoarece aceasta este cerința auditorului de securitate. Precizia ar trebui să fie de peste 90, cred, astfel încât utilizatorii finali validi să nu fie blocați zilnic.
0
Răspunde
Tim avatar
drapel gp
Tim
Vă rugăm să vă editați întrebarea pentru a include acest detaliu.Vă rugăm să clarificați cerința de e-mail - doriți să primiți e-mailuri doar de la persoane dintr-o singură țară? Acest lucru va fi dificil, deoarece este perfect valabil pentru cineva din (să zicem) SUA să folosească un server de e-mail în Elveția. http(s) este ușor, utilizați CloudFront. Nu puteți elimina de altfel, puteți doar să reduceți riscul, un VPN ocolește cu ușurință blocurile bazate pe IP.
0
Răspunde
Puncte:0
avatar Server
drapel cn
Martin

Poate că buna practică este să autorizați doar un anumit IP să se conecteze la server SAU să faceți treaba direct în aplicația dvs. (ca acest ip nu este localizat în această țară, refuz accesul)

Dar rețineți că utilizatorii din alte țări pot folosi în continuare un VPN pentru a falsifica localizările lor. Deci, limitarea doar la IP este cea mai bună restricție pe care o puteți avea!

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.