Я столкнулся со следующим вопросом сценария в своем исследовании AWS:

У вас есть веб-приложение для бизнеса, работающее в VPC, состоящее из балансировщика нагрузки приложений (ALB), серверов приложений и базы данных. Ваше веб-приложение должно принимать трафик только с предварительно определенных IP-адресов клиентов. Какие два варианта соответствуют этому требованию безопасности? Выберите 2 ответа

Опции:

A.  Configure web server VPC security groups to allow traffic from your customers’ IPs
B.  Configure your web servers to filter traffic based on the ALB’s "X-forwarded-for" header
C.  Configure your web servers to filter traffic based on the ALB’s "Proxy Protocol" header
D.  Configure ELB security groups to allow traffic from your customers’ IPs and deny all outbound traffic
E.  Configure a VPC NACL to allow web traffic from your customers’ IPs and deny all outbound traffic 

Правильный ответ

B. Configure your web servers to filter traffic based on the ALB’s "X-forwarded-for" header
D. Configure ELB security groups to allow traffic from your customers’ IPs and deny all outbound traffic

Мой вопрос: почему E здесь не принят?

Спасибо большое, любое просвещение ценится.

1
mdivk 29 Ноя 2019 в 03:48

1 ответ

Я считаю, что E является недействительным из-за второй части ответа "и запретить весь исходящий трафик". NACL по своей природе не имеют состояния, это означает, что входящий трафик, открытый в NACL, не разрешает исходящий трафик по умолчанию для запроса. Таким образом, если ваш веб-сервер получает запрос на порт 80, он должен ответить обратно, используя внешний порт, который находится в диапазоне 1024-65535. Таким образом, ваш NACL должен иметь исходящее правило ALLOW для отправки ответа на этот порт.

Это отличается от групп безопасности, которые по своей природе имеют состояние и не требуют явного разрешения для периферийных портов.

Для дальнейшего чтения поищите лиц без состояний в приведенной ниже документации, чтобы лучше понять, если я не смог объяснить здесь:

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html

2
Juned Ahsan 29 Ноя 2019 в 04:08
Спасибо. НО, можем ли мы установить правила запрета в группе безопасности? почему D здесь допустимый вариант?
 – 
mdivk
29 Ноя 2019 в 04:50
Потому что группа безопасности DENY не влияет на эфермальные порты. Группа безопасности разрешит ответ на временном порте, если она разрешает запрос на входящем порте.
 – 
Juned Ahsan
29 Ноя 2019 в 04:53
Спасибо. Мой вопрос в том, что нет правил ЗАПРЕЩЕНИЯ, которые вы можете установить в группах безопасности, вот ссылка: docs.aws.amazon.com/vpc/latest/userguide/…
 – 
mdivk
29 Ноя 2019 в 20:01