我需要将 EC2 实例的 http(s) 和 pop/imap 端口的访问限制到单个国家/地区。这是安全审计员的要求。它不会阻止通过 vpn 进行访问,但至少不会直接打开。
这里有两个关于同一主题的问题: AWS EC2 安全组 SSH 访问仅限美国,
这两个答案都需要在安全组中添加该国家/地区的网络块。我想知道是否有人在生产中实施过它?
鉴于每个安全组限制 50 条规则且每个实例限制 5 个安全组,是否可以添加安全组中的所有网络块?
区块是否经常更改?我们是否需要自动化来每天检查和更新?
最后,是否有使用 AWS 原生功能/服务的更好的解决方案——可能是使用 AWS 网络防火墙?
答案1
也许好的做法是只授权某些 IP 连接到服务器或直接在您的应用程序中执行工作(例如,这个 IP 不在这个国家/地区本地化,我拒绝访问)
但请记住,其他国家的用户仍然可以使用 VPN 来伪造他们的本地化。因此,仅限制 IP 是您可以拥有的最佳限制!