Разрешить доступ к EC2 только из 1 страны

amolkul

27.02.2023, 18:00

Мне нужно ограничить доступ к портам http(s) и pop/imap экземпляра EC2 для одной страны. Это требование аудитора по безопасности. Это не помешает доступу через vpn, но по крайней мере не будет напрямую открываться.

Здесь 2 вопроса на одну и ту же тему: Доступ по SSH к группе безопасности AWS EC2 только из США,

Доступ в Интернет группы безопасности AWS EC2 из одной страны?

Ответы в обоих случаях требуют добавления сетевых блоков страны в группу безопасности. Я хотел бы знать, внедрил ли кто-нибудь это в производство?

Учитывая ограничение в 50 правил на группу безопасности и 5 групп безопасности на экземпляр, возможно ли добавить все сетевые блоки в группы безопасности?

Блоки часто меняются? Нужна ли нам автоматизация для ежедневной проверки и обновления?

Наконец, есть ли лучшее решение с использованием собственных функций/сервисов AWS — может быть, с помощью сетевого брандмауэра AWS?

136

0 + 0

совместное использование экрана

амазон-веб-сервисы

aws-ec2

Tim

27.02.2023, 18:34

Это будет сложно реализовать. Предложите вам отредактировать свой вопрос, включив в него более подробную информацию и общую картину: «Мы хотим ограничить трафик SSH одной страной, потому что (причина) с точностью 99%», поскольку вы можете получить более полезные ответы. Ограничение по IP с группами безопасности не сработает. Вам нужно будет купить базу данных ограничений IP, использовать коды стран CloudFlare или использовать информацию о местоположении, предоставленную CloudFront, если это ограничение https, интегрированное с fail2ban или подобным. Как только мы поймем проблему, мы сможем предложить альтернативное решение.

Ответить

amolkul

28.02.2023, 06:25

@tim Нам нужно заблокировать http(s) и протоколы электронной почты, чтобы исключить возможность доступа к электронной почте из-за пределов страны, так как это требование аудитора безопасности. Я думаю, что точность должна быть выше 90, чтобы действительные конечные пользователи не блокировались ежедневно.

Ответить

Tim

28.02.2023, 06:51

Пожалуйста, отредактируйте свой вопрос, чтобы включить эту деталь.Пожалуйста, уточните требования к электронной почте. Вы хотите получать электронную почту только от людей из одной страны? Это будет сложно, так как кто-то в (скажем) США может использовать почтовый сервер в Швейцарии. http(s) легко, используйте CloudFront. Кстати, вы не можете исключить, вы можете только снизить риск, VPN легко обходит блокировки на основе IP.

Ответить

Рейтинг:0

Server

Martin

28.02.2023, 08:27

Возможно, хорошей практикой является только авторизация некоторого IP-адреса для подключения к серверу ИЛИ выполнение работы непосредственно в вашем приложении (например, этот IP-адрес не локализован в этой стране, я запрещаю доступ)

Но имейте в виду, что пользователи из других стран по-прежнему могут использовать VPN для подделки своей локализации. Таким образом, ограничение только IP - лучшее ограничение, которое вы можете иметь!

0 + 0

Admin

Этот вопрос на других языках:

EN: Allow access to EC2 from 1 country only

TH: อนุญาตให้เข้าถึง EC2 จาก 1 ประเทศเท่านั้น

RO: Permiteți accesul la EC2 numai dintr-o țară

RU: Разрешить доступ к EC2 только из 1 страны

VI: Chỉ cho phép truy cập vào EC2 từ 1 quốc gia

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.