Итак, у меня есть экземпляр EC2 с веб-сервером. В группах безопасности я разрешил входящий трафик на 80 и 443, но удалил весь исходящий трафик из соображений безопасности. Мое приложение использует AWS SNS и SMTP, и, конечно же, всякий раз, когда оно пытается подключиться к этим службам, оно терпит неудачу, поскольку исходящий трафик блокируется. Как я могу ограничить исходящий трафик только этими службами без использования прокси? Я попытался проверить конечные точки VPC, но не нашел в списке SNS и SMTP.
Ограничение исходящего трафика на AWS SNS/SMTP
22.12.2017
Ответы:
1
Вам нужно будет включить порты, которые нужны этим службам для получения ваших запросов. Большинство сервисов AWS используют интерфейс REST, для которого требуется HTTPS (443).
Для SNS вам нужно будет включить исходящий порт 443.
Для SMTP вам нужно будет найти порты, которые вы настроили. Для SES это обычно порты 465 или 587.
Amazon публикует ip-ranges.json, который содержит список IP-адресов для AWS. Вы можете создать функцию Lambda для автоматического обновления ваших групп безопасности с помощью этих адресов.
Я бы не стал блокировать все исходящие порты. Вместо этого я бы контролировал, где экземпляр может подключаться, используя группы безопасности и ip-ranges.json. Затем я бы проверил, что вы все еще можете устанавливать обновления и т. д. Если ваш экземпляр основан на Windows, то у вас есть еще одна банка червей, добавляющая сайты Microsoft.
ИМХО: Если только вам действительно не нужен такой уровень контроля и безопасности и вы готовы тратить уйму времени на управление всем...
Пример проекта:
Как автоматически обновлять группы безопасности
22.12.2017
2
Чтобы добавить к ответу Джона,
В прошлом месяце AWS выпустила продукт под названием «AWS PrivateLink», который позволяет людям рекламировать услуги в VPC так же, как сегодня это делают конечные точки S3. AWS будет публиковать сервисы AWS таким же образом в ближайшие месяцы, так что это может быть для вас лишь краткосрочной проблемой.
Дополнительную информацию можно найти по адресу https://aws.amazon.com/about-aws/whats-new/2017/11/introduction-aws-privatelink-for-aws-services/
23.12.2017
Новые материалы
Кластеризация: более глубокий взгляд
Кластеризация — это метод обучения без учителя, в котором мы пытаемся найти группы в наборе данных на основе некоторых известных или неизвестных свойств, которые могут существовать. Независимо от..
Как написать эффективное резюме
Предложения по дизайну и макету, чтобы представить себя профессионально
Вам не позвонили на собеседование после того, как вы несколько раз подали заявку на работу своей мечты? У вас может..
Частный метод Python: улучшение инкапсуляции и безопасности
Введение
Python — универсальный и мощный язык программирования, известный своей простотой и удобством использования. Одной из ключевых особенностей, отличающих Python от других языков, является..
Как я автоматизирую тестирование с помощью Jest
Шутка для победы, когда дело касается автоматизации тестирования
Одной очень важной частью разработки программного обеспечения является автоматизация тестирования, поскольку она создает..
Работа с векторными символическими архитектурами, часть 4 (искусственный интеллект)
Hyperseed: неконтролируемое обучение с векторными символическими архитектурами (arXiv)
Автор: Евгений Осипов , Сачин Кахавала , Диланта Хапутантри , Тимал Кемпития , Дасвин Де Сильва ,..
Понимание расстояния Вассерштейна: мощная метрика в машинном обучении
В обширной области машинного обучения часто возникает необходимость сравнивать и измерять различия между распределениями вероятностей. Традиционные метрики расстояния, такие как евклидово..
Обеспечение масштабируемости LLM: облачный анализ с помощью AWS Fargate и Copilot
В динамичной области искусственного интеллекта все большее распространение получают модели больших языков (LLM). Они жизненно важны для различных приложений, таких как интеллектуальные..