Как вы ограничиваете доступ между подсетями в пределах одного VPC?

Question

Итак, я следовал руководству для некоторых архитекторов VPC , которое побуждало меня разбивать подсети по слоям (а не просто на общие / частные подсети)

Тогда я решил, что будуесть эти подсети:

• elb-public
• elb-internal
• service
• база данных

Теперь яхотите запретить что-либо в подсетях elb-* достигать подсети database.По умолчанию все в VPC может достигать друг друга через локальный маршрут в таблицах маршрутов, и AWS не позволяет удалять эти маршруты, что не является моим желаемым поведением.

В статье, которую я связал вышеесть подход, который разделяет все на VPC и связывает их с пирингом VPC, поэтому в других случаях, чтобы ограничить доступ между VPC, я просто не могу их peer.Но этот подход кажется мне немного сложным, и я хочу найти решение, которое не требует, чтобы я делил что-либо на VPC.

Как мне достичь упомянутого варианта использования?

Answer 1

Это руководство документирует очень "строгий" дизайн безопасности.Это довольно сложно.

Если у вас приложение меньшего размера, вместо этого вы можете использовать Группы безопасности для достижения аналогичного результата, используя только одну подсеть (или вы можете предпочесть одну общедоступную и одну частную подсеть).).

Традиционная сеть может устанавливать межсетевые экраны только между подсетями, но группа безопасности может предоставлять межсетевой экран вокруг каждого отдельного ресурса.

Answer 2

Сетевые ACL будут делать то, что вам нужно.Имейте в виду, что они не имеют состояния, поэтому вы должны разрешить временные порты.https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html

Рекомендуется использовать списки управления доступом к сети для определения грубых правил, о которых подсети могут общаться друг с другом, а затем использовать группы безопасности для более детальных правил, основанных на приложении / роли конкретного сервера.,https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html