Вопрос или проблема
Сегодня мы используем WAF для Application Load Balancer, и это отлично, но WAF не поддерживает Network Load Balancer. Поэтому нам нужно решение, которое будет защищать нас за или после NLB. Например:
1. Firewall->NLB->App (лучший вариант для нас)
2. NLB->Firewall->App
Чтобы было понятно, мы должны использовать NLB, а не ALB, потому что нам нужно использовать TCP, а не HTTP/HTTPS, так как у нас много доменов, для которых мы предоставляем SSL на наших серверах (используя CaddyServer), поэтому, если мы будем использовать ALB, SSL для этого доменного имени не будет работать.
Спасибо за помощь
Уточнение
Я не совсем понимаю, что вы пытаетесь сделать. Если это не отвечает на ваш вопрос, пожалуйста, измените его, чтобы более полно описать то, что вы пытаетесь достичь, а не то, как вы думаете, что можете это сделать – то есть опишите свою рабочую нагрузку и требования к подключению/защите. Например, под Firewall вы имеете в виду группу безопасности, NACL, устройство, такое как виртуальный SRX на EC2, и т.д.?
ALB за NLB
Вы можете разместить ALB за NLB. Ознакомьтесь с этой статьей для получения подробной информации. В этой статье показано, как использовать NLB для обеспечения ALB статическим IP-адресом.
ALB может быть защищен группой безопасности. Так это выглядит
Internet > NACL > NLB -> Group Security > ALB > Рабочая нагрузка
Это также может быть
Internet > NACL > NLB -> Group Security > ALB > NACL > Group Security > Рабочая нагрузка
Или
Internet > NACL > NLB -> Group Security > ALB > NACL > Group Security > Устройство межсетевого экрана EC2 -> Group Security -> Рабочая нагрузка
Ответ или решение
Если вам необходимо установить файрвол за сетевым балансировщиком нагрузки (Network Load Balancer, NLB) в AWS, у вас есть несколько опций, которые можно рассмотреть для обеспечения безопасности и защиты ваших приложений. Важно учитывать, что AWS WAF не поддерживается при использовании NLB, поэтому мы будем рассматривать альтернативные решения, которые удовлетворят ваши требования. Вот несколько вариантов, которые можно использовать:
1. Установка файрвола перед NLB
Конфигурация:
Файрвол -> NLB -> Приложение.
В этом сценарии рекомендуется использовать виртуальное сетевое устройство (например, виртуальную машину с SRX или другими специализированными решениями по обеспечению безопасности) перед NLB, чтобы контролировать и фильтровать входящие трафики, прежде чем они достигнут NLB. Это помогает защитить приложения от различных угроз и атак, таких как DDoS.
Преимущества:
- Возможность детального анализа и фильтрации трафика.
- Защита на уровне сети и приложения.
- Гибкость в настройке правил и политик безопасности.
2. Установка ALB за NLB
Этот вариант позволяет вам использовать Application Load Balancer (ALB) в качестве дополнительного уровня защиты. Вы можете настроить его следующим образом:
Конфигурация:
Интернет -> NACL -> NLB -> ALB -> Приложение.
Преимущества:
- ALB предоставляет возможность применения групп безопасности, что позволяет дополнительно контролировать доступ к вашим приложениям.
- Вы можете воспользоваться функциями WAF для ALB для фильтрации трафика и защиты от OWASP Top Ten уязвимостей.
- Способность использовать SSL на уровне ALB, если это согласуется с вашими требованиями.
3. Использование фильтрации на уровне EC2
Для обеспечения безопасности, можно дополнительно использовать файрвол на уровне экземпляров EC2:
Конфигурация:
Интернет -> NACL -> NLB -> ALB -> NACL -> EC2 Файрвол Аппарат -> Приложение.
Преимущества:
- Это обеспечивает несколько уровней фильтрации и защиты, уменьшая вероятность успешных атак.
- Наличие комбинации различных решений (фаервол на уровне сети и на уровне экземпляров) позволяет адаптироваться к изменяющимся условиям и угрозам.
4. Интеграция с AWS Security Services
Вы можете также рассмотреть возможность интеграции с такими службами безопасности AWS, как AWS Shield для защиты от DDoS-атак и Amazon GuardDuty для мониторинга угроз:
Преимущества:
- AWS Shield предоставляет защиту на уровне инфраструктуры от DDoS-атак.
- Amazon GuardDuty осуществляет постоянный мониторинг и анализ активности в вашем аккаунте для выявления потенциальных угроз.
Заключение
При организации безопасности за сетевым балансировщиком нагрузки AWS, вам следует выбрать правильную стратегию, учитывая ваши уникальные требования и специфику приложений. Используя комбинацию виртуальных устройств безопасности, ALB и встроенных сервисов AWS, вы можете создать многоуровневую архитектуру защиты, обеспечивающую безопасность ваших данных и приложений.
Если у вас возникнут дополнительные вопросы, или вам потребуется помощь в настройке этих решений, не стесняйтесь обращаться за поддержкой. Выбор правильной конфигурации и решений по безопасности имеет решающее значение для защиты ваших ресурсов в облаке.