本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
限制一個VPC的出站流量
使用安全性VPC群組限制輸出流量
評估架構的輸出流量需求後,請開始修改安VPC全群組規則,以符合組織的安全性需求。請務必將所有必要的連接埠、通訊協定和目標 IP 地址新增至安全群組的允許清單。
如需指示,請參閱 Amazon 使用VPC者指南中的使用安全群組控制資源流量。
重要
在測試環境中更新安全群組規則之後,請確認您的應用程式仍如預期般運作。VPC如需詳細資訊,請參閱本指南中使用VPC流量記錄時分析輸出流量的最佳做法一節。VPC
特定 AWS 服務的主要安全性群組考量
Amazon 彈性運算雲(AmazonEC2)
當您建立時VPC,它會隨附允許所有輸出流量的預設安全性群組。除非您建立自己的自訂安全群組,否則 Amazon 彈性運算雲端 (AmazonEC2) 執行個體會使用此預設安全群組。
重要
若要無意中使用預設安全群組降低 Amazon EC2 執行個體的風險,請移除群組的所有輸出規則。如需詳細資訊,請參閱 Amazon VPC 使用者指南中〈使用安全群組規則〉一節中的刪除安全群組規則。
Amazon Relational Database Service(AmazonRDS)
除非資料庫充當用戶端,否則可移除 Amazon 資料RDS庫執行個體的所有輸出安全群組規則。如需詳細資訊,請參閱 Amazon RDS 使用者指南中的VPC安全群組概觀。
Amazon ElastiCache
除非執行個體充當用戶端,否則 Amazon ElastiCache (RedisOSS) 和 Amazon ElastiCache (Memcached) 執行個體的所有輸出安全群組規則都可以移除。如需詳細資訊,請參閱下列內容:
-
安全組:EC2-經典(Amazon ElastiCache (RedisOSS)用戶指南)
-
理解 ElastiCache 和 Amazon VPCs(Amazon ElastiCache (Memcached)用戶指南)
使用 AWS Network Firewall 和VPCDNS主機名稱來限制輸出流量
當應用程式使用動態 IP 位址時,最佳做法是使用DNS主機名稱而非 IP 位址來篩選其VPC輸出流量。例如,如果應用程式正在使用 Application Load Balancer,則應用程式的關聯 IP 地址將會變更,因為節點會不斷擴展。在這種情況下,使用DNS主機名稱來篩選輸出網路流量比靜態 IP 位址更安全。
您VPC可以使用AWS Network Firewall
如需詳細資訊和網路防火墻政策規則範例,請參閱《AWS Network Firewall 開發人員指南》中的域篩選。如需詳細指示,請參閱下列AWS規範指引 (APG) 模式:使用 Network Firewall 從伺服器名稱指示 (SNI) 擷取輸出流量的網DNS域名稱。
注意
SNI是在流量中TLS保持未加密的延伸。這表示用戶端嘗試存取的目的地主機名稱HTTPS。
重要
在測試環境中更新網路防火墻的帶狀態規則之後,請確定應用程式仍如預期般運作。請確定未封鎖所提供的任何必要DNS網域名稱。SNI
架構範例
下圖顯示使用DNS主機名稱篩 AWS Network Firewall 選輸出流量VPC的範例架構:
該圖顯示以下工作流程:
-
輸出要求源於私有子網路內,並傳送至受保護子網路中的NAT閘道。
-
NAT閘道接收到的HTTPS流量會路由到公用子網路中的 AWS Network Firewall 端點。
-
AWS Network Firewall 檢查要求並套用設定的防火牆原則規則,以接受或拒絕傳遞至網際網路閘道的要求。
-
核准的輸出請求會傳送至網際網路閘道。
-
來自網際網路閘道的核准流量會傳送至網際網路,以存取預期的 URL (由SNI非加密HTTPS標頭提供)。
