适用于 RDS 的 AWS 安全组 - 出站规则
Man*_*M J 4 amazon-ec2 amazon-web-services aws-security-group aws-rds
我有一个分配给 RDS 实例的安全组,它允许来自我们的 EC2 实例的端口 5432 流量。
但是,此安全组为所有 IP 的所有流量启用了所有出站流量。
这是安全风险吗?理想的出站安全规则应该是什么?在我看来,RDS 安全组的出站流量应该限制在我们 EC2 实例的 5432 端口,对吗?
理想的出站安全规则应该是什么?在我看来,RDS 安全组的出站流量应该限制在我们 EC2 实例的 5432 端口,对吗?
对出站连接进行明确控制也是一个好主意。
在您的 RDS 组中:删除所有出站规则(默认情况下,有一条规则允许到所有端口和 IP 的出站连接 -> 只需删除此“无处不在”规则)。
您的数据库将通过端口 5432 从您的 EC2 实例接收入站请求,RDS 将通过完全相同的连接响应您的 EC2 实例,在这种情况下根本不需要定义出站规则。
小智 1
使用安全组(与ACL 规则相反)时,所有入站流量都会自动允许在出站流量中,因此在您的情况下出站规则可能为空。
这是否存在安全风险?理想的出站安全规则应该是什么?在我看来,RDS 安全组的出站流量应限制在我们的 EC2 实例的端口 5432,对吗?
仅当您的 RDS 位于 VPC 内的公有子网中时,才会存在风险。
最佳实践建议在您的场景中在 Web 服务器内拥有一个公有子网,并为所有私有资源(RDS、其他私有服务等)拥有一个私有子网。
如图所示,将 RDS 托管在私有子网内,无法从 VPC 外部访问它
| 归档时间: |
|
| 查看次数: |
4493 次 |
| 最近记录: |