适用于RDS的AWS安全组 - 出站规则
我有一个分配给RDS实例的安全组,它允许来自我们的EC2实例的端口5432流量。
但是,此安全组为所有IP的所有流量启用了所有出站流量。
这是安全隐患吗?什么应该是理想的出站安全规则? 在我看来,RDS安全组的出站流量应该限制在我们的EC2实例的5432端口,这是对的吗?
3 个答案:
答案 0 :(得分:2)
默认情况下,所有Amazon EC2安全组:
- 拒绝所有入站流量
- 允许所有出站流量
您必须将安全组配置为允许入站流量。这种配置应限于尽可能小的范围。也就是说,必需的协议最少,所需的IP地址范围最小。
出站访问传统上保持开放状态。这样做的原因是您通常会“信任”您自己的系统。如果他们希望访问外部资源,请让他们这样做。
我们随时欢迎您限制出站访问,尤其是对于敏感系统。但是,确定哪些端口保持打开可能是一个挑战。例如,实例可能希望下载操作系统更新,访问Amazon S3或发送电子邮件。
答案 1 :(得分:2)
理想的出站安全规则应该是什么?在我看来,RDS安全组的出站流量应该限制在我们的EC2实例的5432端口,这是对的吗?
对出站连接进行明确控制也是一个好主意。
在您的RDS组中:删除所有出站规则(默认情况下,有规则允许出站连接到所有端口和IP' s>>只需删除此" all-anywhere"规则)
您的数据库将通过端口5432从您的EC2实例接收入站请求,RDS将通过完全相同的连接回复您的EC2实例,在这种情况下根本不需要定义出站规则。
答案 2 :(得分:1)
使用安全保护程序(而不是 ACL规则)时,出站流量会自动允许所有入站流量,因此您的情况下出站规则可能为空。
这是安全隐患吗?什么应该是理想的出站安全性 规则?在我看来,RDS安全的出站流量 group应限制在5432端口到我们的EC2实例,是这样的 正确?
仅当您的RDS位于VPC内的公共子网中时,才存在风险。
在您的方案中,建议您在Web服务器中使用公有子网,并为所有私有资源(RDS,其他私有服务等)使用私有子网。
正如您在图片中看到的那样,在私有子网内托管您的RDS,无法从您的VPC外部访问它
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?