AWS から自宅オンプレミスサービスへの接続を遮断している

 (consulting.m3047.net)
1 ポイント 投稿者 GN⁺ 2024-09-01 | 1件のコメント | WhatsAppで共有
  • 1989年以前は、一般大衆はインターネットにアクセスできなかった。政府、軍、研究・教育機関にのみ開放された大規模ネットワークが存在していた
  • AOL、Compuserve などのサービスが登場し、初期のクラウドネイティブの前身となった
  • 1995年に NSFNet はバックボーンへの一般アクセスを遮断した。商用インターネットを構築するための措置だった
  • 2000年ごろに大規模な淘汰が起こり、生き残ったモデルは広告とユーザー行動データの販売に基づくものになった
  • 現在の AI の特徴は、アクセス可能なあらゆるコンテンツをトレーニングデータとして使うことにある

今日の状況

  • 筆者は実験と利便性のため、AWS から自分のオンプレミスサーバーへのアクセスを遮断している
  • 筆者が運用している Web サービス、DNS サーバー、メールなどは個人ユーザー向けである
  • AWS は規模が大きすぎるため、ファイアウォールルールの作成が増える。クローラーやスキャナーを遮断する副次的効果もある
  • たいていの有名なリソースはクラウド上でホスティングされている
  • オープンソースが権限なく意図しない用途に転用される、データ窃取の問題も存在する

ポリシーへ格上げする

  • 大手クラウドプロバイダーは、DNS、Whois などのツールを通じてフォレンジックに有用な情報を共有すべきである
  • 個別 IP に対する Whois、逆引き DNS にエンコードされた追加情報などが必要である
  • 現在の悪用パターンと影響を受けるアドレスブロックを議論する「Storm Center」ブログも運営すべきである
  • SMTP は SPF のような追加情報を DNS TXT レコードとして公開している
  • 適切な緩和策はすべての当事者に役立つが、誤って対象を定めた緩和策はそうではない
  • このような状況に至ったのは恥ずべきことであり、広がればインターネットのバルカン化につながるだろう

関連記事

1件のコメント

 
GN⁺ 2024-09-01
Hacker Newsの意見
  • 主要なクラウド事業者は、機械可読なIPレンジの一覧を公開している
  • インターネット上でインフラを攻撃する人々は非常に素早く現れる
    • BGPでサブネットを広報した途端、ポートスキャン活動が急増する
    • 多くの人があらゆるIPレンジを無差別にスキャンしているようだ
  • 内部Webサービスをインターネットに公開するのは衝撃的だ
    • VPNのような追加の保護レイヤーが必要だ
  • SSHは単一のバスチオンホストでのみ公開している
    • VPNレイヤーを追加してこれもなくしたい
  • Hetzner、Digital Ocean、Linode、OVH、Contaboをブロックしている
    • pfBlocker NGまたはUFWルールを使ってASNをブロックできる
  • Amazonサーバーがオンプレミスサーバーを遅くするため、IPレンジをブロックしている
    • スクリプトを書いて定期的にIPレンジをダウンロードし、ブロックしている
  • AWSで実行されるデスクトップをブロックできる
    • 特定のIPをホワイトリストに追加できる
    • プロキシやVPNを使ってブロックを回避できる
  • インターネットの大部分をブロックしたくなるのは理解できる
    • 特定のサービスに対してのみブロックしている
    • 共有知の恩恵を信じている
  • AWSの従業員だが、pingトラフィックがスプーフィングされていたなら、AWSが発信元かどうかは分からない
  • 問題の要約が必要だ
    • データスクレイピング、DDoS攻撃、帯域幅の問題、セキュリティ上の問題のどれなのか明確ではない
  • クラウド間ネットワーキングが必要なサーバーを運用している
    • クラウドサービスから入ってくるのはボット、スキャナー、スクレイパーばかりだ
    • 中国の大手ISPをブロックしている
    • インバウンド接続をブロックしつつアウトバウンド接続を維持するのが課題だ
  • DDoSと大手テック企業のボットによって問題は深刻化している
    • CIDR集約とデータセンターISPのレート制限を使っている
    • すべてのIPに対して妥当な制限を設定している