Amazon-Ec2
安全地允許來自 api 呼叫的入站返回
從源 0.0.0.0/0 打開入站防火牆規則以接收來自 Internet 的入站返回 IPv4 流量是否安全(我只需要對源自子網的請求進行此操作)?
我正在創建一個與網站上的多個 API 一起使用的私有應用程序,我希望能夠從這些 API 接收有關我的呼叫的資訊,但我的系統和文件的其餘部分不應從 Internet 訪問。
我從源 0.0.0.0/0 在 TCP (6) 協議埠範圍 1024-65535 上創建了入站自定義 TCP 規則
我擁有的其他防火牆設置僅允許來自專用 IP 的 SSH 入站(因此我可以連接家用電腦)和出站 HTTP 和 HTTPS 以執行 API 呼叫。
恐怕我用這個設置為各種流量和潛在的入侵者打開了埠。我從此處的aws doc #140 inbound 導出此規則建議,並將其放入我的安全組入站規則中。如果這不安全,我認為我需要建構一個具有獨立實例的系統來接收此資訊,然後轉發到更多私有實例,但是如果沒有必要,我不想降低速度和便利性。
您連結的文件適用於您的 VPC 網路 ACL,而不是您的特定實例。您應該在此 ACL 中打開臨時埠。但是,您的實例只需要為源自外部的請求(例如 SSH)打開埠。如果請求來自您的實例,您不需要打開任何額外的安全組規則,只需確保您的出口規則允許您向任何內容髮出請求。