Подключите NSG к интерфейсу шлюза NAT

Как подключить NSG с отслеживанием состояния к сетевому интерфейсу шлюза NAT в AWS? Если я пытаюсь добавить его вручную, я получаю следующую ошибку: «У вас нет прав доступа к указанному ресурсу». в портале.

По умолчанию к интерфейсу шлюза NAT не подключена NSG, поэтому в журналах потоков VPC входящий интернет-трафик отображается как принятый. Я знаю, что фактический трафик не принимается шлюзом NAT и отбрасывается, но это все равно очень раздражает, поскольку загромождает журналы.

Здесь частный IP-адрес шлюза NAT — 10.0.1.226, и вы можете видеть, что он проверяется из общедоступного Интернета:

версия ID-учетной записи ID-интерфейса srcaddr dstaddr srcport dstport протокол пакеты байты start end action log-status
2 770604943877 eni-0d9c6092f69e85b93 162.142.125.159 10.0.1.226 54995 20121 6 1 44 1631843704 1631843705 ПРИНЯТЬ OK
2 770604943877 eni-0d9c6092f69e85b93 192.241.207.249 10.0.1.226 37490 8098 6 1 40 1631843722 1631843724 ПРИНЯТЬ OK
2 770604943877 eni-0d9c6092f69e85b93 89.248.165.59 10.0.1.226 52915 5017 6 1 40 1631843709 1631843741 ПРИНЯТЬ OK
2 770604943877 eni-0d9c6092f69e85b93 45.135.232.119 10.0.1.226 43453 8737 6 1 40 1631843761 1631843762 ПРИНЯТЬ OK
2 770604943877 eni-0d9c6092f69e85b93 162.142.125.149 10.0.1.226 4078 9010 6 1 44 1631843780 1631843782 ПРИНЯТЬ OK
2 770604943877 eni-0d9c6092f69e85b93 89.248.165.204 10.0.1.226 53823 5354 6 1 40 1631843789 1631843799 ПРИНЯТЬ OK
2 770604943877 eni-0d9c6092f69e85b93 192.241.215.86 10.0.1.226 43709 137 17 1 78 1631843789 1631843799 ПРИНЯТЬ OK
2 770604943877 eni-0d9c6092f69e85b93 162.142.125.146 10.0.1.226 14176 18045 6 1 44 1631843739 1631843790 ПРИНЯТЬ OK
2 770604943877 eni-0d9c6092f69e85b93 162.142.125.150 10.0.1.226 48059 21381 6 1 44 1631843739 1631843790 ПРИНЯТЬ OK
2 770604943877 eni-0d9c6092f69e85b93 185.191.34.207 10.0.1.226 59477 36 6 1 40 1631843739 1631843790 ПРИНЯТЬ OK
2 770604943877 eni-0d9c6092f69e85b93 91.132.58.183 10.0.1.226 5106 5162 17 1 443 1631843739 1631843790 ПРИНЯТЬ OK

Если я добавлю сетевые ACL для запрета входящего трафика из Интернета, это также предотвратит исходящий доступ в Интернет, инициированный VPC. Поскольку ACL не имеют состояния, входящий ответный трафик из Интернета будет заблокирован.

Я нахожу ваш вопрос немного запутанным. Когда вы говорите «NSG», я предполагаю, что вы имеете в виду «Security Group». В Azure есть «Группы безопасности сети», AWS в качестве групп безопасности. Кроме того, вы не сказали, чего вы пытаетесь достичь, вы сказали, что не работает, из-за чего вам трудно помочь. Я выскажу вам некоторые общие мысли, но если они неверны, отредактируйте свой вопрос, указав, чего вы пытаетесь достичь, и исправьте сокращения.

Шлюзы NAT не имеют группы безопасности. Группа безопасности — это брандмауэр вокруг ENI, например, на экземпляре EC2. Вы не платите за входящий трафик, поэтому вам не нужно заботиться о том, что отклоняется шлюзом NAT, кроме как для расследования безопасности конкретных проблем / инцидентов. Ничего не приходит в шлюз NAT, для этого они и нужны.

Похоже, ваша основная проблема заключается в запрете трафика в журналах потоков VPC, поскольку шлюз NAT отклоняет трафик из Интернета.Мой главный совет — игнорировать его, так как, возможно, однажды он будет полезен для криминалистических целей в среде с высоким уровнем безопасности, или отключите журналы потоков VPC, если они вам не нужны. Я использую журналы потоков VPC для диагностики и оставляю их в журнале только в том случае, если требуется соответствие PCI/CIS/подобному соглашению. В этих журналах всегда будет много отклоненного трафика. Однажды я потратил довольно много времени, пытаясь отследить отказы во внутренней подсети без доступа к Интернету, но у меня кончилось время, прежде чем я что-то добился. Я просто позволил этому уйти.

Вы можете изменить область действия Журналы потоков VPC. Вместо создания журнала потоков для всего VPC вы создаете журнал потоков только для своих частных подсетей и убедитесь, что ваш шлюз NAT находится в общедоступной подсети. Таким образом, не регистрируйте запрещенный трафик из Интернета.

Вы также можете настроить журналы потоков для регистрации типов трафика ACCEPT, REJECT или BOTH.

Подводя итоги и отвечая на ваш комментарий:

1. Журналы потоков VPC — это инструмент, который используется для диагностики сети (и редко включается) или для ведения журналов соответствия (всегда включен, но намеренно ограничен). Их мало кто включает.
2. Я включаю журналы потоков VPC только тогда, когда у меня есть веская причина. Когда я это делаю, я ограничиваю их сетевыми интерфейсами и типом трафика, которые мне нужны (принятие/отклонение/оба).
3. Я просматриваю журналы потоков VPC только при диагностике сети. Когда я смотрю на них, это для определенного интерфейса/события, поэтому я игнорирую все, что мне не нужно видеть.
4. Для группы журналов Cloudwatch установлен соответствующий срок хранения.