好的,所以我创建了一个默认的 Elastic Beanstalk 应用程序并将其报告为高风险,并且发生在连接到 VPC 网络的所有区域(这不是公共 IP,只有负载均衡器子网)。
AWS 安全组允许互联网流量
该网站是公开的,所以这不应该是正常的吗?或者有没有办法不允许安全组的互联网流量,并且仍然让访问它的用户公开看到该站点?我只是不确定是否有办法解决正在报告的这种高安全风险。这是真正的安全风险吗?如果是这样,知道如何解决这个问题吗?我在这里也收到以下安全风险:
AWS 默认安全组不限制所有流量
为什么我要限制所有流量?有没有办法做到这一点并且仍然使该网站在互联网上公开可见?请注意,运行一个 wordpress 网站。
这应该不允许互联网访问吗?对不起,如果这是一个愚蠢的问题。
并且也看到了这一点:
具有公共 IP 并与安全组关联的 AWS EC2 实例具有 Internet 访问权限
我不认为这些实例需要访问互联网才能在互联网上显示,但不知道如何解决这个问题。
编辑
这是我的安全组入站和出站规则:
我是否需要为此删除入站规则才能解决此问题,但仍保持网站上的互联网正常运行?这是 VPC 网络的安全组,顺便说一句,这是正确的吗?
此处来自 EB 的负载均衡器设置:
Web 服务器正常
从默认安全组中删除所有规则,并使用自定义安全组。
更新:最佳实践是不使用默认安全组,并从该组中删除所有规则。这样,任何使用默认安全组的东西显然都在使用默认值,而不是经过深思熟虑的选择,这通常意味着需要注意并更改它以使用适当的安全组。
这就是我认为的重点