EC2 インスタンスからのポート 5432 トラフィックを許可する RDS インスタンスに割り当てられたセキュリティ グループがあります。
ただし、このセキュリティ グループでは、すべての IP のすべてのトラフィックに対してすべての送信トラフィックが有効になっています。
これはセキュリティ上のリスクですか? 理想的なアウトバウンド セキュリティ ルールとは? 私の見解では、RDS セキュリティ グループのアウトバウンド トラフィックは、EC2 インスタンスへのポート 5432 に制限する必要がありますが、これでよろしいですか?
デフォルトでは、すべての Amazon EC2 セキュリティ グループ:
インバウンド トラフィックを許可するようにセキュリティ グループを設定する必要があります。このような構成は、可能な限り最小限の範囲に制限する必要があります。つまり、必要なプロトコルが最も少なく、必要な IP アドレス範囲が最小です。
ただし、アウトバウンド アクセスは、伝統的にオープンに保たれます。これは、通常、自分のシステムを「信頼」するためです。外部リソースにアクセスしたい場合は、そうさせてください。
特に機密性の高いシステムについては、アウトバウンド アクセスをいつでも制限できます。ただし、どのポートを開いたままにするかを決定するのは難しい場合があります。たとえば、インスタンスは、オペレーティング システムの更新をダウンロードしたり、Amazon S3 にアクセスしたり、メールを送信したりする必要がある場合があります。
セキュリティ グループを使用する場合( ACL ルールとは対照的に)、すべてのインバウンド トラフィックはアウトバウンド トラフィックで自動的に許可されるため、アウトバウンド ルールは空になる場合があります。
これはセキュリティ上のリスクですか? 理想的なアウトバウンド セキュリティ ルールとは? 私の見解では、RDS セキュリティ グループのアウトバウンド トラフィックは、EC2 インスタンスへのポート 5432 に制限する必要がありますが、これでよろしいですか?
RDS がVPC 内のパブリックサブネットにある場合にのみリスクがあります。
ベスト プラクティスでは、Web サーバー内にパブリック サブネットを設定し、すべてのプライベート リソース (RDS、その他のプライベート サービスなど) にプライベート サブネットを設定することをお勧めします。
画像でわかるように、RDS をプライベートサブネット内でホストすると、VPC の外部から RDS にアクセスする方法がありません。