Filter mit AWS CLI – effizient und hilfreich

Das die AWS CLI ein mächtiges und sehr hilfreiches Tool für die Kontrolle und das Monitoring einer Infrastruktur in AWS ist, ist allgemein bekannt. Oft hindern die vorhandenen umfangreichen Optionen und deren korrekter Syntax zur Ermittlung des gesuchten Ergebnisses eine häufigerer Nutzung der AWS CLI im täglichen Betrieb.
In diesem Artikel wird gezeigt, wie durch den Einsatz des Parameters ’–filter’  häufig wiederkehrende Fragestellungen in Zusammenhang mit EC2 Instanzen effizient beantwortet werden können.

(mehr …)

Kontrollierter Zugriff ins Internet von privaten Instanzen. Wie geht das?

Sollen EC2 Instanzen ohne öffentliche IP Adresse (im privaten Sub-Netz) den Zugang zum Internet erhalten, ist eine entpsrechende „network address translation“ (NAT) Einheit notwendig. Entweder als entsprechende EC2 NAT-Instanz oder seit kurzem mittels dem lang ersehnten NAT-Gateway.

Damit ist der Weg frei für IP-Verbindungen wenn sie von der Instanz im privaten Sub-Netz aufgebaut werden ( initiate outbound connection). Der umgekehrte Weg, Datenverkehr von IP-Verbindungen die aus dem Internet aufgebaut (connection initiated from the internet) werden ist nicht möglich.

Welche Möglichkeiten gibt es nun, den Zugriff ins Internet von den privaten Instanzen weiter einzuschränken (z.B. bestimmte Internet-Domänen) um Risiken des Missbrauchs zu minimieren?

In der Praxis haben sich Proxy basierte Lösungen mittels Squid bewährt. Eine Beschreibung wie eine solche Lösung aussehen kann, wird in diesem Blog-Post „How to Add DNS Filtering to Your NAT Instance with Squid“ vom AWS Security Blog gegeben.

Eine weitere Möglichkeit ist der Einsatz einer Sophos UTM Lösung.

Weitere Informationen und Einsatzbeispiele von Squid Proxy Instanzen in Amazon VPC’s sind in diesen Foren-Beiträgen nachzulesen.