Necesito restringir el acceso de los puertos http (s) y pop / imap de una instancia EC2 a un solo país. Es un requisito del auditor de seguridad. No impedirá el acceso a través de vpn, pero al menos no se abrirá directamente.

Aquí hay 2 preguntas sobre el mismo tema: AWS EC2 Security Group Acceso SSH solo desde EE. UU. ,

¿Acceso web a AWS EC2 Security Group desde un solo país?

Las respuestas en ambos requieren agregar bloques de red del país en el Grupo de seguridad. Me gustaría saber si alguien lo ha implementado en producción.

Dado el límite de 50 reglas por grupo de seguridad y 5 grupos de seguridad por instancia, ¿es posible agregar todos los bloques de red en los grupos de seguridad?

¿Los bloques cambian con frecuencia? ¿Necesitamos automatización para verificar y actualizar diariamente?

Por último, ¿existe una solución mejor que utilice las funciones / servicios nativos de AWS? ¿Es posible que utilice AWS Network Firewall?

answer

Tal vez la buena práctica sea autorizar solo a alguna IP para conectarse al servidor O hacer el trabajo directamente en su aplicación (como si esta IP no estuviera localizada en este país, niego el acceso)

Pero tenga en cuenta que los usuarios de otros países aún pueden usar una VPN para falsificar sus localizaciones. Por lo tanto, limitarse a IP es la mejor restricción que puede tener.

Nuevo colaborador
Martin is a new contributor to this site. Take care in asking for clarification, commenting, and answering. Check out our Code of Conduct.