#amazon-web-services #amazon-vpc #amazon-cloudtrail #aws-elb
#amazon-веб-сервисы #amazon-vpc #amazon-cloudtrail #aws-elb
Вопрос:
Я столкнулся с вопросом в AWS о том, как отслеживать исходный IP-адрес или IP-адрес клиента, который был обработан экземпляром или приложением EC2.
Я запутался, потому что исходный IP-адрес или IP-адрес клиента можно увидеть в журналах потока VPC, журналах cloud trail и журналах ELB.
Например, вот один из вопросов, с которым я столкнулся в одном из пробных тестов:
Приложение запускается в экземплярах Amazon EC2 с использованием средства балансировки нагрузки приложений (ALB). Экземпляры выполняются в группе автоматического масштабирования в нескольких зонах доступности. Команда информационной безопасности хочет отслеживать запросы приложений по исходному IP-адресу и экземпляру EC2, который обрабатывает запрос. Какой из следующих инструментов или сервисов предоставляет эту информацию?
- AWS CloudTrail
- Журналы доступа с гибкой балансировкой нагрузки
- Журналы потоков VPC
Ответ №1:
Средство балансировки нагрузки приложения "повторно передает" запрос экземпляру EC2. Таким образом, похоже, что он не исходит от создателя.
Журналы доступа с эластичной балансировкой нагрузки будут содержать информацию об отправителе.
Из записи IP-адресов клиентов в журналах доступа ELB:
Для балансировщиков нагрузки приложений и классических балансировщиков нагрузки с прослушивателями HTTP / HTTPS необходимо использовать заголовки X-Forwarded-For для захвата IP-адресов клиентов. Затем вы должны распечатать эти IP-адреса клиентов в своих журналах доступа.
AWS CloudTrail ведет учет вызовов API, выполняемых в AWS, поэтому он не будет содержать трафик, отправляемый через балансировщик нагрузки.
В журналах потоков VPC отображаются источник и место назначения каждого пакета в VPC. Любые пакеты между балансировщиком нагрузки и экземпляром EC2 будут показывать только этот трафик (ALB -> EC2). Они не будут отображать трафик до балансировки нагрузки.
Комментарии:
1. я понимаю, что в журналах потока VPC в качестве адреса источника будет отображаться адрес сетевого интерфейса, но в журналах AWS Cloudtrail отображается исходный адрес.
2. Трафик, проходящий через балансировщик нагрузки, не будет отображаться в CloudTrail, поскольку AWS CloudTrail регистрирует только вызовы API для AWS (например, RunInstances, ListBuckets, CreateVPC). Он не регистрирует трафик, проходящий через сам VPC.
3. если запрос направляется к экземпляру, который находится за балансировщиком нагрузки в PVC, и если я вижу это событие в cloudtrail. Каким будет исходный адрес?
4. Данные, поступающие в экземпляр Amazon EC2, не будут отображаться в AWS CloudTrail. Единственные элементы, регистрируемые в CloudTrail, - это вызовы API, выполняемые в службе AWS.