EC2 - > RDS:
RDS(数据库引擎):我在端口3306上为Web服务器的安全组打开了入站和出站。
EC2(Web服务器):我的入站号为80,443和22(myIP)。出站开放为80,443和3306,它也需要所有流量才能正常运行。
我的问题是关于我的网络服务器的出站规则。为什么我需要打开所有流量?这有任何安全问题吗?
答案 0 :(得分:0)
有些人会锁定出站以防止数据丢失。对于不可变的体系结构,它更有效,因为您已经删除了从公共源更新包的功能。
显然,您可以选择自己的安全配置文件;一般来说,我认为这是安全级别:
这是我的ec2安全成熟度模型。我确定我错过了一些 - 请随时在下面发表评论。
答案 1 :(得分:0)
安全组出站规则允许您指定“目标”,而不是源。基本上您不必担心通过出站规则拒绝服务器攻击。
另一方面,除非您的Web服务器需要无限制地连接到Internet,否则将80 + 443目标设置为0.0.0.0/0。
否则,如果您的Web服务器只需连接到OS存储库以进行安全更新(例如ubuntu,apache等),那么您可以显式指定存储库IP地址,而不是使用0.0.0.0/0。
除此之外,风险很小。除非您加载渲染网页的内容,例如在读取随机网页的Web服务器中加载Web浏览器,然后它使您容易受到浏览器/ java引擎/渲染引擎的攻击:如果exploit可以执行类似ssh反向隧道的操作,那么攻击者可能会获得对您的Web服务器的访问权限。