Tôi cần hạn chế quyền truy cập vào (các) cổng http và pop / imap của một phiên bản EC2 cho một quốc gia. Nó là một yêu cầu từ kiểm toán viên an ninh. Nó sẽ không ngăn truy cập qua vpn, nhưng ít nhất nó sẽ không được mở trực tiếp.

Có 2 câu hỏi ở đây về cùng một chủ đề: Nhóm bảo mật AWS EC2 Chỉ truy cập SSH từ Hoa Kỳ ,

Nhóm bảo mật AWS EC2 Truy cập web từ một quốc gia?

Câu trả lời trong cả hai yêu cầu thêm netblock của quốc gia trong Nhóm bảo mật. Tôi muốn biết nếu có ai đã thực hiện nó trong sản xuất?

Với giới hạn 50 quy tắc cho mỗi nhóm bảo mật và 5 nhóm bảo mật cho mỗi trường hợp, liệu có thể thêm tất cả các netblock trong các nhóm bảo mật không?

Các khối có thường xuyên thay đổi không? Chúng ta có cần tự động hóa để kiểm tra và cập nhật hàng ngày không?

Cuối cùng, có giải pháp nào tốt hơn bằng cách sử dụng các tính năng / dịch vụ gốc AWS - có thể là sử dụng Tường lửa mạng AWS không?

answer

Có thể cách tốt là chỉ cho phép một số IP kết nối với máy chủ HOẶC thực hiện công việc trực tiếp trong ứng dụng của bạn (như ip này không được bản địa hóa ở quốc gia này, tôi từ chối quyền truy cập)

Nhưng hãy nhớ rằng người dùng từ các quốc gia khác vẫn có thể sử dụng VPN để giả mạo bản địa hóa của họ. Vì vậy, bằng cách chỉ giới hạn ở IP là hạn chế tốt nhất mà bạn có thể có!