Come posso limitare il traffico diretto a un Application Load Balancer e consentire il traffico solo attraverso CloudFront?

5 minuti di lettura
0

Desidero limitare l'accesso diretto a un Application Load Balancer e consentire l'accesso solo tramite Amazon CloudFront.

Breve descrizione

Per limitare il traffico diretto verso un Application Load Balancer e consentire l'accesso solo tramite CloudFront, utilizza le regole del listener Application Load Balancer. Se disponi di una lista di controllo degli accessi (ACL) AWS WAF esistente, puoi utilizzare le regole ACL Web. Per limitare ulteriormente l'accesso all'Application Load Balancer, configura il gruppo di sicurezza in modo da limitare l'accesso alla tua origine. A tale scopo, utilizza l'elenco dei prefissi gestiti AWS. È consigliabile utilizzare una di queste soluzioni e configurare anche il gruppo di sicurezza.

Risoluzione

Application Load Balancer

Per utilizzare le regole del listener Application Load Balancer allo scopo di limitare il traffico, vedi Restrict access to Application Load Balancers.

AWS WAF

Nota: i costi di AWS WAF si basano sui seguenti fattori:

  • Quantità di ACL web che crei
  • Quantità di regole aggiunte per ogni ACL web
  • Quantità di richieste web ricevute

Per ulteriori informazioni, consulta Prezzi di AWS WAF.

Per utilizzare le regole ACL web personalizzate di AWS WAF allo scopo di limitare il traffico, completa i seguenti passaggi:

  1. Configura CloudFront per aggiungere un'intestazione HTTP personalizzata con un valore segreto nelle richieste che CloudFront invia all'Application Load Balancer.
  2. Crea una regola nell'ACL web AWS WAF associato all'Application Load Balancer. Usa questa regola per bloccare le richieste che non contengono il valore segreto dell'intestazione HTTP personalizzata.

Configurazione di CloudFront per aggiungere un'intestazione HTTP personalizzata

Completa i seguenti passaggi:

  1. Apri la console CloudFront.
  2. Nel riquadro di navigazione, scegli Distribuzioni.
  3. Seleziona l'ID distribuzione.
  4. Scegli Origini.
  5. Seleziona l'Application Load Balancer, quindi scegli Modifica.
    Nota: se l'Application Load Balancer non è un'origine, aggiorna la distribuzione e quindi imposta Application Load Balancer come origine.
  6. Per Aggiungi intestazione personalizzata, inserisci Nome dell'intestazione e Valore.
    Importante: il Nome dell'intestazione e il Valore fungono da credenziali sicure, ad esempio nome utente e password. Copia questi valori in un file di testo da utilizzare più avanti in questa procedura.
  7. Scegli Salva modifiche.

Creazione di una regola nell'ACL web per bloccare le richieste senza l'intestazione

Completa i seguenti passaggi:

  1. Apri la console AWS WAF.
  2. Nel pannello di navigazione, in AWS WAF scegli ACL web.
  3. In Regione, seleziona la regione AWS in cui si trova l'Application Load Balancer.
    Nota: se hai un ACL web esistente associato all'Application Load Balancer, vai al passaggio 9.
  4. Scegli Crea ACL web, quindi inserisci un Nome.
  5. Per le risorse AWS associate, seleziona l'Application Load Balancer, quindi scegli Avanti.
  6. Per Azione ACL web predefinita per le richieste che non corrispondono ad alcuna regola, scegli Consenti, quindi Avanti.
  7. Per Opzioni di campionamento delle richieste, scegli Abilita richieste campionate, quindi Avanti.
  8. Scegli Crea ACL Web.
  9. Apri la console AWS WAF.
  10. Nel pannello di navigazione, in AWS WAF scegli ACL web.
  11. Per Regione, seleziona la regione in cui si trova l'Application Load Balancer.
  12. Seleziona l'ACL web associato all'Application Load Balancer.
  13. In Regole, seleziona Aggiungi regole, quindi Aggiungi le mie regole e gruppi di regole.
  14. In Nome, inserisci il nome della regola.
  15. In Tipo, scegli Regola normale.
  16. In Se una richiesta, scegli non corrisponde all'istruzione (NOT).
  17. Configura le seguenti impostazioni nell'Istruzione 1:
    Per Ispeziona, scegli Intestazione singola.
    Per il nome del campo Intestazione, inserisci il Nome dell'intestazione che hai creato in CloudFront.
    Per Tipo di corrispondenza, scegli Corrisponde esattamente alla stringa.
    Per Stringa per la corrispondenza, inserisci il Valore che hai creato in CloudFront.
    Per la Trasformazione del testo, scegli Nessuno.
  18. In Operazione, scegli Blocca.
  19. Scegli Salva regola.
  20. Per Imposta la priorità delle regole, se hai più regole, imposta questa regola sulla priorità più alta.
  21. Scegli Salva.

Gruppi di sicurezza

Per limitare ulteriormente il traffico verso un Application Load Balancer, utilizza un elenco di prefissi gestiti AWS sui gruppi di sicurezza nell'Application Load Balancer.

Per aggiornare un gruppo di sicurezza esistente, consulta Update the associated security groups. Per associare l'Application Load Balancer a un gruppo di sicurezza, completa i seguenti passaggi:

  1. Apri la console Amazon Elastic Compute Cloud (Amazon EC2).
  2. Seleziona bilanciatore del carico, quindi scegli l'Application Load Balancer.
  3. Scegli Sicurezza.
  4. Seleziona il gruppo di sicurezza che desideri associare all'Application Load Balancer.
  5. Per modificare le regole in entrata, seleziona ** Modifica le regole in entrata**, quindi aggiorna le configurazioni in base al tuo caso d'uso.
    Nota: se hai una regola che consente 0.0.0.0/0, è necessario aggiungere una nuova regola prima di eliminare la regola esistente.
  6. Per consentire protocolli specifici, seleziona il protocollo e scegli Personalizzato.
  7. Per il Tipo di origine, scegli CloudFront, quindi seleziona i tuoi prefissi dall'elenco dei prefissi gestiti da AWS.
  8. Scegli Salva.

Nota: è consigliabile consentire solo le porte utilizzate dall'Application Load Balancer.

L'elenco dei prefissi gestiti da CloudFront può essere aggiunto solo una volta per ogni gruppo di sicurezza con le impostazioni predefinite a causa del peso dell'elenco dei prefissi. Per aggiungere un'altra regola con CloudFront come Tipo di origine nello stesso gruppo di sicurezza, richiedi un aumento della quota. In alternativa, utilizza due gruppi di sicurezza che fanno entrambi riferimento all'elenco dei prefissi gestiti di CloudFront.

Informazioni correlate

Security groups

AWS UFFICIALE
AWS UFFICIALEAggiornata 3 mesi fa