Мне нужно ограничить доступ к портам http (s) и pop / imap экземпляра EC2 в одной стране. Это требование аудитора по безопасности. Это не предотвратит доступ через vpn, но, по крайней мере, он не будет открыт напрямую.

Здесь есть 2 вопроса по одной и той же теме: SSH-доступ AWS EC2 Security Group только из США ,

Доступ к сети AWS EC2 Security Group из одной страны?

Ответы в обоих случаях требуют добавления сетевых блоков страны в группу безопасности. Хотелось бы узнать, внедрил ли кто-нибудь это в продакшн?

Учитывая ограничение в 50 правил на группу безопасности и 5 групп безопасности на экземпляр, возможно ли добавить все сетевые блоки в группы безопасности?

Часто ли меняются блоки? Нужна ли автоматизация для ежедневной проверки и обновления?

Наконец, есть ли лучшее решение с использованием собственных функций / сервисов AWS - может быть, с помощью AWS Network Firewall?

answer

Возможно, хорошей практикой является авторизация только некоторого IP-адреса для подключения к серверу ИЛИ выполнение работы непосредственно в вашем приложении (например, этот IP-адрес не локализован в этой стране, я отказываю в доступе)

Но имейте в виду, что пользователи из других стран по-прежнему могут использовать VPN для имитации локализации. Итак, ограничение только IP - лучшее ограничение, которое вы можете иметь!