In che modo i firewall stateless sono utili nelle piattaforme cloud pubbliche?

Naviga le tue risposte
2

Sto cercando di capire il valore dei firewall stateless nelle piattaforme di cloud pubblico come NACL (Network Access Control Lists) in Amazon Web Services (AWS). Penso di conoscere alcuni modi in cui posso usarli, ma non sono sicuro del valore effettivo in termini di sicurezza.

AWS ha già gruppi di sicurezza, che sono stateful, con i quali posso limitare quale fonte CIDR può accedere a quale porta in un'istanza di calcolo. So che NACL può essere utilizzato per proteggere un'intera sottorete. Oltre alla semplice praticità, esistono altri casi di utilizzo validi per i firewall stateless nelle piattaforme cloud che non possono essere raggiunti con firewall di stato come Security Groups.

Questa domanda è nata perché ho scoperto che Google Cloud Platform e Azure Cloud non sembrano avere servizi firewall senza stato. GCP ha policy di sicurezza per le armature cloud che sembrano simili a AWAC NACL, ma sembrano applicarsi solo ai bilanciatori di carico HTTP.

    
posta eternaltyro 24.09.2018 - 12:38
fonte

2 risposte

1

I firewall con stato sono generalmente inutili di fronte ai server pubblici, poiché si accettano tutte le connessioni in entrata da ogni indirizzo su qualunque porta. Questo può essere ottenuto con un filtro di pacchetti stateless.

I firewall di stato sono anche generalmente il primo componente a cadere durante un attacco DDoS, anche prima che i server oi collegamenti di rete esauriscano le risorse.

Infine, i firewall basati sullo stato richiedono una "sincronizzazione dello stato" brutta e fragile e meccanismi di clustering altamente disponibili. Questi in genere non funzionano correttamente quando necessario e vengono raramente testati correttamente dai clienti firewall con stato.

In breve: i fornitori di servizi cloud forniscono gli strumenti per eseguire servizi Internet ad alto volume per il pubblico. I filtri di pacchetti stateless sono un elemento fondamentale di questo puzzle, poiché i firewall con stato sono utili solo in scenari a volume ridotto senza più percorsi di rete.

Prova: Microsoft, Google , Amazon, Cloudflare ecc. non usa firewall di stato davanti ai propri servizi web ad alto volume rivolti al pubblico. Usano ACL del router che sono implementati in silicio.

    
risposta data 27.09.2018 - 13:51
fonte
0

Pensa alla funzionalità NACL proprio come pensi agli ACL sulle apparecchiature di rete. Puoi usarli dove non hai un firewall in linea, ma vuoi comunque assicurarti che solo il traffico specifico possa fluire verso una sottorete specifica, indipendentemente dalle istanze di calcolo che compaiono. In pratica, non ne vedo molto l'utilità oggi, dal momento che diventa ingestibile una volta che vuoi più di alcune regole specifiche o vuoi creare una politica più complessa.

Questo fornisce un buon confronto

    
risposta data 24.09.2018 - 15:27
fonte

Leggi altre domande sui tag

Quale stato della porta aspettarsi da Nmap quando si scandiscono porte aperte solo a specifici indirizzi IP Esiste un modo per salvare un file dalla coda della stampante di rete?