Obejście limitu reguł ACL sieci AWS

Maksymalnie do listy ACL sieci VPC można zastosować 40 reguł.

Mam listę ponad 50 adresów IP, które muszę jawnie zablokować dostęp w naszych systemach, za pośrednictwem dowolnego portu i dowolnego protokołu. Jest to idealny cel dla listy ACL, ale limit utrudnia mi wykonanie tego zadania.

Oczywiście mogę to zrobić w IPTables na każdym hoście, ale chcę zablokować cały ruch do wszystkich komponentów VPC (na przykład do ELB). Ponadto o wiele bardziej idealne jest zarządzanie tymi regułami w jednym miejscu, a nie na każdym hoście.

Mam nadzieję, że jest jakiś sposób, którego nie rozumiem, robiąc to na poziomie systemu / platformy. Grupy zabezpieczeń są wyraźnie dozwolone, bez akcji odmowy, więc nie zrobią tego.

Oto pomysł na lewe pole .. możesz „zerować trasę” 50 zablokowanych adresów IP, dodając „uszkodzoną” trasę do tabeli tras VPC dla każdego adresu IP.

Nie zapobiegnie to ruchowi z adresów IP uderzającemu w twoją infrastrukturę (tylko NACL i SG to zapobiegną), ale zapobiegnie ruchowi powrotnemu z każdego „powrotu do domu”.

Nie ma sposobu na zwiększenie limitu NACL, a duża liczba reguł NACL wpływa na wydajność sieci.

Przede wszystkim możesz mieć problem architektoniczny.

1. Czy Twoje instancje muszą znajdować się w publicznych podsieciach?
2. Czy skonfigurowałeś bramy NAT, aby ograniczyć ruch przychodzący?
3. Czy w przypadku instancji, które muszą znajdować się w podsieciach publicznych, masz minimalne reguły grupy zabezpieczeń dla ruchu przychodzącego?
4. Czy używasz warunków dopasowania AWS WAF IP do blokowania niechcianego ruchu do CloudFront i urządzeń równoważących obciążenie?

Jeśli osiągasz limit reguł NACL, jest to najprawdopodobniej dlatego, że nie stosujesz zalecanego przez AWS podejścia do architektury VPC i korzystania z usług takich jak WAF (i Shield for DDoS) w celu blokowania niepożądanego ruchu i jawnych ataków.

Jeśli martwisz się atakami DDoS: jak chronić dynamiczne aplikacje internetowe przed atakami DDoS za pomocą Amazon CloudFront i Amazon Route 53

Nie jest to dokładnie to, o co prosiłeś, ale może dobrze wykonać zadanie.

Skonfiguruj CloudFront przed swoją infrastrukturą. Użyj warunków dopasowania IP, aby skutecznie blokować ruch. CloudFront działa zarówno z zawartością statyczną, jak i dynamiczną i może przyspieszać zawartość dynamiczną, ponieważ wykorzystuje szkielet AWS, a nie publiczny Internet. Oto, co mówią lekarze

Jeśli chcesz zezwolić na niektóre żądania sieciowe i blokować inne na podstawie adresów IP, z których pochodzą żądania, utwórz warunek dopasowania IP dla adresów IP, na które chcesz zezwolić, i inny warunek dopasowania IP dla adresów IP, które chcesz zablokować .

Korzystając z CloudFront, powinieneś blokować bezpośredni dostęp do wszelkich zasobów publicznych za pomocą grup zabezpieczeń. AWS Aktualizacja zabezpieczeń Grupy lambda zachowa swoje grupy zabezpieczeń na bieżąco, aby umożliwić ruch w CloudFront ale odrzucają innego ruchu. Jeśli przekierujesz http na https za pomocą CloudFront, możesz nieco ulepszyć skrypty, aby http nie uderzył w twoją infrastrukturę. Możesz także dodać do białej listy dowolne adresy IP, które wymagają bezpośredniego dostępu administratora.

Alternatywnie możesz użyć CDN innej firmy, takiej jak CloudFlare. CloudFlare ma skuteczną zaporę ogniową, ale dla wielu reguł chcesz 200 USD miesięcznie. To może być tańsze niż CloudFront, przepustowość AWS jest dość droga. Bezpłatny plan daje tylko 5 reguł zapory.