Работа с ограничением правила ACL для сети AWS

Максимально к ACL-списку сети VPC может применяться 40 правил.

У меня есть список из более чем 50 IP-адресов, которые мне нужны, чтобы явно заблокировать доступ в наших системах через любой порт и любой протокол. Это идеальная цель для ACL, но предел мешает мне выполнить эту задачу.

Конечно, я могу сделать это в IPTables на каждом хосте, но я хочу заблокировать любой трафик для всех компонентов в VPC (например, для ELB). Более того, гораздо удобнее управлять этими правилами в одном месте, а не на каждом хосте.

Я надеюсь, что есть какой-то способ, которого я не понимаю, делая это на уровне системы / платформы. Группы безопасности явно разрешают, без каких-либо действий запрета, поэтому они не сработают.

Вот идея левого поля ... вы можете «пустить» 50 заблокированных IP-адресов, добавив «сломанный» маршрут в таблицу маршрутов VPC для каждого IP-адреса.

Это не предотвратит попадание трафика IP-адресов в вашу инфраструктуру (это предотвратит только NACL и SG), но предотвратит обратный трафик, который заставит его «вернуться домой».

Нет никакого способа увеличить ограничение на NACL, и большое количество правил NACL влияет на производительность сети.

Вы можете иметь архитектурную проблему превыше всего.

1. Ваши экземпляры должны быть в общедоступных подсетях?
2. Вы настроили шлюзы NAT для ограничения входящего трафика?
3. Для тех экземпляров, которые должны быть в общедоступных подсетях, есть ли у вас минимальные правила группы входящей безопасности?
4. Используете ли вы условия соответствия AWS WAF IP для блокировки нежелательного трафика в CloudFront и ваших балансировщиках нагрузки?

Если вы достигаете предела правила NACL, это, скорее всего, связано с тем, что вы не используете рекомендованный AWS подход к архитектуре VPC и использование таких сервисов, как WAF (и Shield для DDoS), для блокирования нежелательного трафика и явных атак.

Если вы беспокоитесь о DDoS-атаках: как помочь защитить динамические веб-приложения от DDoS-атак с помощью Amazon CloudFront и Amazon Route 53

Это не совсем то, что вы просили, но может сделать работу достаточно хорошо.

Установите CloudFront перед вашей инфраструктурой. Используйте условия соответствия IP для эффективной блокировки трафика. CloudFront работает как со статическим, так и с динамическим контентом и может ускорять динамическое содержимое, поскольку оно использует магистраль AWS, а не общедоступный Интернет. Вот что говорят доктора

Если вы хотите разрешить некоторые веб-запросы и заблокировать другие на основе IP-адресов, с которых исходят запросы, создайте условие сопоставления IP-адресов для разрешаемых IP-адресов и другое условие сопоставления IP-адресов для блокируемых IP-адресов. ,

При использовании CloudFront вы должны заблокировать прямой доступ к любым общедоступным ресурсам, используя группы безопасности. Лямбда - AWS Обновление групп безопасности будет держать ваши группы безопасности до настоящего времени , чтобы позволить CloudFront трафика в но отвергает другие виды трафика. Если вы перенаправляете http на https с помощью CloudFront, вы можете немного изменить сценарии, чтобы предотвратить попадание http в вашу инфраструктуру. Вы также можете внести в белый список любые IP-адреса, которым нужен прямой доступ администратора.

Кроме того, вы можете использовать сторонние CDN, такие как CloudFlare. CloudFlare имеет эффективный межсетевой экран, но для количества правил, которые вы хотите, это 200 долларов в месяц. Это может быть дешевле, чем CloudFront, пропускная способность AWS довольно высока. Бесплатный план дает вам только 5 правил брандмауэра.