¿Por qué son útiles los firewalls sin estado en las plataformas de nube pública?

2

Estoy tratando de entender el valor de los firewalls sin estado en plataformas de nube pública como Network Access Control Lists (NACL) en Amazon Web Services (AWS). Creo que conozco algunas formas en que puedo usarlas, pero no estoy seguro del valor real en términos de seguridad.

AWS ya tiene grupos de seguridad, que son de estado, con los cuales puedo restringir qué fuente CIDR puede acceder a qué puerto en una instancia de proceso. Sé que se puede usar NACL para asegurar una subred completa. Además de la simple conveniencia, ¿existe algún otro caso de uso válido para firewalls sin estado en plataformas en la nube que no se pueda lograr con firewalls con estado como los grupos de seguridad?

Esta pregunta surgió porque descubrí que Google Cloud Platform y Azure Cloud no parecen tener servicios de firewall sin estado. GCP tiene políticas de seguridad de armadura en la nube que parecen similares a AWS NACL pero parecen aplicarse solo a los balanceadores de carga HTTP.

    
pregunta eternaltyro 24.09.2018 - 12:38
fuente

2 respuestas

1

Los firewalls con estado generalmente no tienen sentido frente a los servidores públicos, ya que está aceptando todas las conexiones entrantes de cada dirección en cualquier puerto. Esto se puede lograr con un filtro de paquetes sin estado.

Los cortafuegos de estado son también , generalmente el primer componente que se cae durante un ataque DDoS, incluso antes de que los servidores o enlaces de red se queden sin recursos.

Finalmente, los firewalls con estado requieren una "sincronización de estado" desagradable y quebradiza y los mecanismos de agrupación en clústeres para estar altamente disponibles. Por lo general, estos no funcionan correctamente cuando son necesarios y rara vez son probados correctamente por los clientes con firewall de estado.

En resumen: los proveedores de la nube proporcionan las herramientas para ejecutar servicios públicos de Internet de gran volumen. Los filtros de paquetes sin estado son una pieza crítica de ese rompecabezas, ya que los firewalls de estado solo son útiles en escenarios de bajo volumen sin múltiples rutas de red.

Evidencia: Microsoft, Google , Amazon, Cloudflare, etc. no usa firewalls con estado frente a sus propios servicios web de alto volumen orientados al público. Usan ACL de enrutador que se implementan en silicon.

    
respondido por el rmalayter 27.09.2018 - 13:51
fuente
0

Piense en la funcionalidad NACL como piensa en las ACL en equipos de red. Puede usarlos donde no tenga un firewall en línea, pero todavía quiere asegurarse de que solo el tráfico específico pueda fluir a una subred específica, independientemente de las instancias de proceso que aparezcan allí. En la práctica, no le veo mucho uso hoy ya que se vuelve inmanejable una vez que desea más que unas pocas reglas específicas o desea crear una política más compleja.

Esto proporciona una muy buena comparación

    
respondido por el Igor Liv 24.09.2018 - 15:27
fuente

Lea otras preguntas en las etiquetas