Umgehen eines AWS-Netzwerk-ACL-Regellimits

Auf eine VPC-Netzwerk-ACL können maximal 40 Regeln angewendet werden.

Ich habe eine Liste mit über 50 IP-Adressen, auf die ich den Zugriff in unseren Systemen über einen beliebigen Port und ein beliebiges Protokoll explizit blockieren muss. Dies ist ein idealer Zweck für eine ACL, aber das Limit hindert mich daran, diese Aufgabe auszuführen.

Natürlich kann ich dies in IPTables auf jedem Host tun, aber ich möchte jeglichen Datenverkehr zu allen Komponenten in der VPC blockieren (zum Beispiel zu ELBs). Darüber hinaus ist es weitaus idealer, diese Regeln an einem Ort zu verwalten, als auf jedem einzelnen Host.

Ich hoffe, es gibt eine Möglichkeit, die ich auf System- / Plattformebene nicht verstehe. Sicherheitsgruppen sind ausdrücklich erlaubt, ohne Aktion zu verweigern, so dass sie den Trick nicht ausführen.

Hier ist eine Idee im linken Feld. Sie können die 50 blockierten IPs auf Null setzen, indem Sie der VPC-Routentabelle für jede IP eine unterbrochene Route hinzufügen.

Dies würde nicht verhindern, dass der Datenverkehr von den IPs auf Ihre Infrastruktur trifft (dies wird nur von den NACLs und den SGs verhindert), aber es wird verhindert, dass der zurückkommende Datenverkehr jedes Mal wieder "nach Hause" gelangt.

Es gibt keine Möglichkeit, das Limit für NACLs zu erhöhen, und eine hohe Anzahl von NACL-Regeln wirkt sich auf die Netzwerkleistung aus.

Möglicherweise haben Sie vor allem ein architektonisches Problem.

1. Müssen sich Ihre Instanzen in öffentlichen Subnetzen befinden?
2. Haben Sie NAT-Gateways eingerichtet, um den eingehenden Datenverkehr zu begrenzen?
3. Haben Sie für Instanzen, die sich in öffentlichen Subnetzen befinden müssen, minimale Regeln für eingehende Sicherheitsgruppen?
4. Verwenden Sie AWS WAF IP-Übereinstimmungsbedingungen , um unerwünschten Datenverkehr zu CloudFront und Ihren Load Balancern zu blockieren?

Wenn Sie die NACL-Regelbeschränkung einhalten, liegt dies höchstwahrscheinlich daran, dass Sie nicht den von AWS empfohlenen Ansatz für die VPC-Architektur und die Verwendung von Diensten wie WAF (und Shield for DDoS) verwenden, um unerwünschten Datenverkehr und offene Angriffe zu blockieren.

Wenn es um DDoS-Angriffe geht: So schützen Sie dynamische Webanwendungen mithilfe von Amazon CloudFront und Amazon Route 53 vor DDoS-Angriffen

Dies ist nicht genau das, wonach Sie gefragt haben, kann aber die Arbeit gut genug machen.

Richten Sie CloudFront vor Ihrer Infrastruktur ein. Verwenden Sie IP-Übereinstimmungsbedingungen , um den Datenverkehr effektiv zu blockieren. CloudFront funktioniert sowohl mit statischen als auch mit dynamischen Inhalten und kann dynamische Inhalte beschleunigen, da das AWS-Backbone anstelle des öffentlichen Internets verwendet wird. Hier ist, was die Dokumente sagen

Wenn Sie einige Webanforderungen zulassen und andere blockieren möchten, basierend auf den IP-Adressen, von denen die Anforderungen stammen, erstellen Sie eine IP-Übereinstimmungsbedingung für die IP-Adressen, die Sie zulassen möchten, und eine weitere IP-Übereinstimmungsbedingung für die IP-Adressen, die Sie blockieren möchten .

Wenn Sie CloudFront verwenden, sollten Sie den direkten Zugriff auf öffentliche Ressourcen mithilfe von Sicherheitsgruppen blockieren. Das Lambda von AWS Update Security Groups hält Ihre Sicherheitsgruppen auf dem neuesten Stand, um CloudFront-Datenverkehr zuzulassen, aber anderen Datenverkehr abzulehnen. Wenn Sie http mit CloudFront zu https umleiten, können Sie die Skripte ein wenig optimieren, um zu verhindern, dass http auf Ihre Infrastruktur trifft. Sie können auch alle IP-Adressen, die direkten Administratorzugriff benötigen, auf die Whitelist setzen.

Alternativ können Sie ein Drittanbieter-CDN wie CloudFlare verwenden. CloudFlare hat eine effektive Firewall, aber für die Anzahl der gewünschten Regeln sind es 200 US-Dollar pro Monat. Das ist vielleicht billiger als CloudFront, die AWS-Bandbreite ist ziemlich teuer. Der kostenlose Plan enthält nur 5 Firewall-Regeln.