У меня есть группа безопасности, назначенная для экземпляра RDS, которая разрешает трафик порта 5432 от наших экземпляров EC2.
Однако в этой группе безопасности весь исходящий трафик включен для всего трафика для всех IP-адресов.
Это угроза безопасности? Каким должно быть идеальное правило безопасности исходящего трафика? На мой взгляд, исходящий трафик для группы безопасности RDS должен быть ограничен портом 5432 для наших экземпляров EC2, правильно?
Каким должно быть идеальное правило безопасности исходящего трафика? На мой взгляд, исходящий трафик для группы безопасности RDS должен быть ограничен портом 5432 для наших экземпляров EC2, правильно?
Также неплохо иметь четкий контроль над исходящими соединениями.
В вашей группе RDS: удалите все правила для исходящего трафика (по умолчанию есть правило, разрешающее исходящие подключения ко всем портам и IP-адресам -> просто удалите это правило «все в любом месте»).
Ваша БД будет получать входящие запросы через порт 5432 от вашего экземпляра EC2, а RDS будет отвечать вашему экземпляру EC2 через то же самое соединение, в этом случае вообще не нужно определять исходящие правила.
По умолчанию все группы безопасности Amazon EC2:
Вы должны настроить группу безопасности, чтобы разрешить входящий трафик. Такая конфигурация должна быть ограничена минимально возможным объемом. То есть минимальное количество необходимых протоколов и минимальный необходимый диапазон IP-адресов.
Исходящий доступ, однако, традиционно остается открытым. Причина этого в том, что вы обычно «доверяете» своим собственным системам. Если они хотят получить доступ к внешним ресурсам, позвольте им это сделать.
Вы всегда можете ограничить исходящий доступ, особенно для конфиденциальных систем. Однако определение того, какие порты оставить открытыми, может оказаться сложной задачей. Например, экземпляры могут захотеть загрузить обновления операционной системы, получить доступ к Amazon S3 или отправить электронные письма.
При использовании групп безопасности (в отличие от правил ACL) весь входящий трафик автоматически разрешается в исходящем трафике, поэтому правила для исходящего трафика могут быть пустыми в вашем случае.
Это угроза безопасности? Каким должно быть идеальное правило безопасности исходящего трафика? На мой взгляд, исходящий трафик для группы безопасности RDS должен быть ограничен портом 5432 для наших экземпляров EC2, правильно?
Риск возникает только в том случае, если ваш RDS находится в общедоступной подсети внутри вашего VPC.
Лучшие практики рекомендуют в вашем сценарии иметь общедоступную подсеть на вашем веб-сервере и частную подсеть для всех частных ресурсов (RDS, другие частные службы и т. Д.).
Как видно на изображении, при размещении вашего RDS в частной подсети нет возможности получить к нему доступ извне вашего VPC.
