问题描述
我有一个由面向公众的应用程序负载平衡器组成的现有环境,该应用程序将流量转发到专用子网上的Windows ec2主机(alb侦听443并转发80)。
这两种资源都属于自己的安全组,其中alb sg从互联网进入白名单,而主机sg仅允许来自alb sg的端口80流量。
我需要在此设置中添加一个WAF,并且一直在搜索有关如何执行此操作的简单后勤建议,但到目前为止还没有找到任何答案(因此,这篇文章!)。
有人可以为此提供任何建议,技巧或陷阱吗?
例如如果WAF拥有自己的ACL,我是否仍需要alb安全组? 如果没有,我该如何为主机sg设置入口规则? 如果是这样,我是否需要在两个地方维护相同的IP白名单?
提前感谢:)
解决方法
从安全角度来看,如果要维护少量IP地址(或CIDR范围),则绝对应该尝试在安全组内维护IP地址(毕竟,如果删除了WAF,您仍然想限制到IPs)。评估将在安全小组之前的WAF进行。
如果您打算使用具有更大IP范围的WAF IPSet,则需要将其用作具有安全组的IP列表,以允许这些端口上的所有流量通过。裸心删除WAF将使此保持打开状态。
如果您不打算维护IP白名单(例如面向公开网站或API),则无需在WAF中包括IP白名单,而只需保留要评估的规则即可。