Kontrollierter Zugriff ins Internet von privaten Instanzen. Wie geht das?

Sollen EC2 Instanzen ohne öffentliche IP Adresse (im privaten Sub-Netz) den Zugang zum Internet erhalten, ist eine entpsrechende „network address translation“ (NAT) Einheit notwendig. Entweder als entsprechende EC2 NAT-Instanz oder seit kurzem mittels dem lang ersehnten NAT-Gateway.

Damit ist der Weg frei für IP-Verbindungen wenn sie von der Instanz im privaten Sub-Netz aufgebaut werden ( initiate outbound connection). Der umgekehrte Weg, Datenverkehr von IP-Verbindungen die aus dem Internet aufgebaut (connection initiated from the internet) werden ist nicht möglich.

Welche Möglichkeiten gibt es nun, den Zugriff ins Internet von den privaten Instanzen weiter einzuschränken (z.B. bestimmte Internet-Domänen) um Risiken des Missbrauchs zu minimieren?

In der Praxis haben sich Proxy basierte Lösungen mittels Squid bewährt. Eine Beschreibung wie eine solche Lösung aussehen kann, wird in diesem Blog-Post „How to Add DNS Filtering to Your NAT Instance with Squid“ vom AWS Security Blog gegeben.

Eine weitere Möglichkeit ist der Einsatz einer Sophos UTM Lösung.

Weitere Informationen und Einsatzbeispiele von Squid Proxy Instanzen in Amazon VPC’s sind in diesen Foren-Beiträgen nachzulesen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *