Lavorare attorno a un limite di regole ACL della rete AWS

Al massimo, un ACL di rete VPC può avere 40 regole applicate.

Ho un elenco di oltre 50 indirizzi IP di cui ho bisogno per bloccare esplicitamente l'accesso nei nostri sistemi, su qualsiasi porta e qualsiasi protocollo. Questo è uno scopo ideale per un ACL, ma il limite mi sta impedendo di completare questo compito.

Naturalmente, posso farlo in IPTables su ciascun host, ma voglio bloccare tutto il traffico verso tutti i componenti nel VPC (ad esempio a ELB). Inoltre è molto più ideale gestire queste regole in un posto piuttosto che su ogni singolo host.

Spero che ci sia un modo in cui non capisco farlo a livello di sistema / piattaforma. I gruppi di sicurezza sono esplicitamente autorizzati, senza alcuna azione di rifiuto, quindi non faranno il trucco.

Ecco un'idea per il campo a sinistra. È possibile "annullare il routing" dei 50 IP bloccati, aggiungendo un route "interrotto" alla tabella di route VPC per ciascun IP.

Ciò non impedirebbe al traffico proveniente dagli IP di colpire la tua infrastruttura (solo i NACL e gli SG lo impediranno), ma impedirà che il traffico di ritorno lo faccia tornare "a casa".

Non è possibile aumentare il limite di NACL e un numero elevato di regole NACL influisce sulle prestazioni della rete.

Potresti avere soprattutto un problema di architettura.

1. Le tue istanze devono trovarsi in sottoreti pubbliche?
2. Hai impostato gateway NAT per limitare il traffico in entrata?
3. Per quelle istanze che devono trovarsi nelle sottoreti pubbliche hai regole minime per i gruppi di sicurezza in entrata?
4. Stai utilizzando le condizioni di corrispondenza IP AWS WAF per bloccare il traffico indesiderato verso CloudFront e i tuoi sistemi di bilanciamento del carico?

Se stai raggiungendo il limite della regola NACL è molto probabile perché non stai adottando l'approccio raccomandato da AWS all'architettura VPC e all'uso di servizi come WAF (e Shield for DDoS) per bloccare il traffico indesiderato e gli attacchi palesi.

Se il problema riguarda gli attacchi DDoS: come proteggere le applicazioni Web dinamiche dagli attacchi DDoS utilizzando Amazon CloudFront e Amazon Route 53

Questo non è esattamente quello che hai chiesto, ma può fare abbastanza bene il lavoro.

Imposta CloudFront di fronte alla tua infrastruttura. Utilizzare le condizioni di corrispondenza IP per bloccare efficacemente il traffico. CloudFront funziona con contenuti sia statici che dinamici e può accelerare i contenuti dinamici in quanto utilizza la struttura portante AWS anziché Internet pubblica. Ecco cosa dicono i documenti

Se si desidera consentire alcune richieste Web e bloccarne altre in base agli indirizzi IP da cui provengono le richieste, creare una condizione di corrispondenza IP per gli indirizzi IP che si desidera consentire e un'altra condizione di corrispondenza IP per gli indirizzi IP che si desidera bloccare .

Quando si utilizza CloudFront è necessario bloccare l'accesso diretto a qualsiasi risorsa pubblica utilizzando i gruppi di sicurezza. I gruppi di sicurezza di AWS Update Lambda manterranno aggiornati i tuoi gruppi di sicurezza per consentire il traffico CloudFront ma rifiutare altro traffico. Se reindirizzi http su https utilizzando CloudFront puoi modificare un po 'gli script per evitare che HTTP colpisca la tua infrastruttura. Puoi anche inserire nella whitelist tutti gli IP che richiedono l'accesso diretto all'amministratore.

In alternativa, è possibile utilizzare un CDN di terze parti come CloudFlare. CloudFlare ha un firewall efficace, ma per il numero di regole che desideri è di $ 200 al mese. Potrebbe essere più economico di CloudFront, la larghezza di banda di AWS è piuttosto costosa. Il piano gratuito ti dà solo 5 regole del firewall.