a(ny)ファイアウォールでAmazon ELBをホワイトリストに登録する方法は?
非常にロックダウンされたネットワークを持つ顧客がいます。送信接続には、ポートとIPアドレスのホワイトリストが必要です。
ただし、システムは Amazon Elastic Load Balancer(ELB) の背後で実行されています。つまり、ELBのIPアドレスが変更される可能性があり、それは私たちの制御を超えています。
特定のIPアドレスではなくドメイン名をホワイトリストに登録することは可能ですか?
これはお客様のITインフラストラクチャに依存することを理解しています。これらはWindowsのみのショップなので、Microsoftの世界で私たちがとることができる特定のアプローチがあれば、それは良いことです。シスコなどのルータ固有の設定がある場合は、それも重要です(お客様がその設定を使用する場合)。
この問題に対処する方法について他に提案はありますか?
IPアドレスのホワイトリストの使用は非常に脆弱であるように見えますが、特定のドメイン名を開くと、DNSポイズニング攻撃を受ける可能性があります。
質問が示唆するように顧客がセキュリティを意識している場合、タスクを実行する唯一の信頼できる方法は、Amazon ELBサービスのIPアドレス範囲へのトラフィックをホワイトリストに登録することであることを理解します。
これにより、同じサービスの外部アクセスを使用する他のWebサイトが許可されることが懸念される場合、プロキシサーバーまたはセカンダリファイアウォールが、これらのIPへのトラフィックが許可されたWebサイトに対してのみであることを確認する必要があります。
顧客のレイアウトについての知識がなければ、具体的に説明するのは少し難しいです。
ただし、私がサポートするサービスの1つでは、Bluecoatプロキシを使用して外部Webサイトへのアクセスを制御することでこれを実現します。
また、ADコントロールを使用して許可されたクライアントのみを許可することも推奨されます。トラフィックは、このサービスのトラフィック専用であるVIP Bluecoats外部インターフェース上のアドレスを介してファイアウォールに送信されます。
ファイアウォールは、ソースからのIP宛先範囲へのアクセスを制限できますVIPのみ。
どのプロキシサーバーでもこれを実行でき、顧客が使用していない場合は、SNATで2番目のファイアウォールを使用して同じことを行うことができます。最初のファイアウォールはWebサイトへのアクセスを許可し、SNAT上の2番目のファイアウォールにトラフィックを転送します。SNATは、外部IPアドレス範囲とのソース/宛先の一致のソースアドレスとして使用されます。
これにより、ファイアウォールで許可されたIPアドレス範囲と応答を一致させる必要があるため、DNSポイズニングの問題を回避できます。