Как мы можем ограничить исходящий трафик из AWS VPC в Интернет, например, ограничить исходящий трафик определенными доверенными доменами («внесение в белый список» URL-адресов). Я думал об AWS WAF, но, похоже, он фильтрует трафик, направляемый в веб-приложение, а не из веб-приложения. Любые мысли, предложения, спасибо заранее.
Как внести в белый список исходящий трафик VPC
comment
Вы ищете прокси?
- person x4k3p schedule 31.12.2020
comment
Да, есть ли какой-либо управляемый сервис AWS, который может предоставить эту функциональность?
- person Asri Badlah schedule 31.12.2020
comment
Смотрите мой ответ, пожалуйста. На самом деле такие вопросы для serverfault.com
- person x4k3p schedule 31.12.2020
Ответы (2)
Похоже, вы ищете прокси-решение. Насколько я знаю, пока не предлагаются какие-либо управляемые прокси-сервисы AWS, но вы можете использовать облачное формирование, терраформирование или подобное, чтобы настроить его по-своему с помощью решений с открытым исходным кодом, например.
На AWS есть хорошая запись в блоге, посвященная именно вашей проблеме: https://aws.amazon.com/de/blogs/security/how-to-set-up-an-outbound-vpc-proxy-сбелымспискомдоменовифильтрациейконтента/
Возможно, на AWS Marketplace для вас есть что-то полезное: https://aws.amazon.com/marketplace/search/results?x=0&y=0&searchTerms=Proxy
person
x4k3p
schedule
31.12.2020
Это выглядит хорошо, но здесь вам нужно добавить каждый URL-адрес, который вам нужен, в белый список, я ищу решение, которое имеет предопределенные URL-адреса, связывающие URL-адреса обновления окон, вместо того, чтобы вносить URL-адреса в белый список один за другим.
- person Asri Badlah; 31.12.2020
Ну, это зависит от ваших потребностей, какие URL вам нужны. Для обновлений Windows, если я правильно понимаю, вы можете использовать WSUS aws.amazon.com/de/quickstart/architecture/ Возможно, на github/internet есть полный список с необходимыми URL-адресами для Центра обновления Майкрософт, но я понятия не имею, извините
- person x4k3p; 31.12.2020
Вы можете попробовать AWS Marketplace, чтобы узнать, предлагает ли кто-нибудь это как продукт.
- person Adam Luchjenbroers; 31.12.2020
Очень хороший момент @Adam, я добавлю его к ответу
- person x4k3p; 31.12.2020
Да, Адам, я думаю, Marketplace кажется хорошим вариантом, спасибо.
- person Asri Badlah; 31.12.2020
Самый простой и легкий способ — реализовать выходной фильтр Aviatrix FQDN. Он просто служит цели из централизованного пользовательского интерфейса, чтобы обнаружить, а затем добавить в белый / черный список URL-адреса / полное доменное имя в каждом VPC.
Реализация прокси может стать сложной, особенно. когда вам нужно управлять им отдельно в каждом VPC. и не обеспечивает централизованного управления, каждый VPC должен управляться отдельно.
Самый простой способ — получить партнера по запуску Aviatrix, такого как SDxWORx, и включить его со скидкой PAYG.
https://aws.amazon.com/marketplace/pp/prodview-laruhupdkcpuy/< /а>
person
Gonzalez Dan
schedule
06.01.2021
Есть ли возможность фильтровать FQND без какого-либо стороннего решения?
- person carmel; 18.01.2021
