问EC2安全组关注

EN

一些人锁定出站以防止数据丢失。它更适合不可变的体系结构，因为您已经删除了从公共源更新包的能力。

显然，您可以选择自己的安全配置文件；一般来说，我认为这是安全性的级别：

1. 向世界开放的22号港口
2. 白名单上的IP访问端口22
3. 白色列表IP的堡垒主机
4. VPN (从这里开始，都使用VPN)
5. 私人IP+ NAT
6. 代理服务器出站访问

这是我的ec2安全成熟度模型。我肯定我错过了一些

安全组出站规则允许您指定“目的地”，而不是源。基本上，您不需要担心通过出站规则拒绝服务器的攻击。

另一方面，除非您的Web服务器需要不受限制地连接到Internet，否则您将80+443目的地设置为0.0.0.0/0。

否则，如果您的web服务器只需要连接到OS存储库以进行安全更新(例如，ubuntu、apache等)，那么您可以显式地指定存储库IP地址，而不是使用0.0.0.0/0。

除此之外，风险很小。除非您加载呈现网页的内容，例如在读取随机网页的web服务器中加载web浏览器，否则它会使您容易受到browser/java engine/rendering的攻击:如果利用漏洞可以执行ssh反向隧道之类的操作，则攻击者可能会访问您的web服务器。