AWS 站點到站點 VPN - 隧道的安全性
AWS 文件中描述了站點到站點 VPN 涉及在 AWS 中的虛擬私有網關和本地客戶網關之間創建兩條隧道。(見https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
這兩條隧道意味著在 AWS 端為每一個分配了兩個公共 IP 地址。我的問題是:如何在 AWS 端為這些 IP 地址設置防火牆,以便它們只允許來自本地 IP 範圍的流量?
似乎網路 ACL 和安全組對此都沒有用處,因為兩者都在 VPN 內部執行,而此時我們已經通過了 VPN 網關。
那麼,如何對隧道公共 IP 實施安全性呢?它們不是開放給攻擊者嘗試猜測憑據並建立自己的隧道嗎?(我知道這將包括暴力破解的秘密,但聽起來還是有道理的)。
這是必要的嗎?或者是否有其他安全層已經解決了這個問題而我沒有看到它?
偵聽隧道端點公共 IP 的設備正在使用您的 VPN 連接密鑰偵聽專門來自客戶**網關分配的 IP 地址的流量。
客戶網關設備外部介面的 Internet 可路由 IP 地址——該值必須是靜態的。
https://docs.aws.amazon.com/vpc/latest/adminguide/Introduction.html#DetermineNetworkInfo
如果您創建的 VPN 連接使用與您定義的客戶網關設備關聯的 IP 地址以外的任何其他 IP 地址,則它不會使用您的憑據與網關設備協商隧道。
AWS 端的這兩個相同的外部 IP 地址也可能為其他 VPN 連接提供服務,以有效利用 IPv4 地址空間和其他類型的資源,但我提到這方面只是為了完整性——它沒有除非您使用具有相同 IP 地址的相同客戶網關連接到該區域中的其他 VPC,否則可能會引起您的興趣。每個 VPN 連接(以及對您的 VPC 的訪問)都受限於每一端的一組特定對等地址,包括客戶網關的靜態 IP 和一組特定的預共享密鑰。