ネットワークACLでRDPを拒否
たいしたことではないですが、大事です。AWSのネットワークACLで使っていないRDP3389のプロトコルポートを閉じます。ネットワークACLは数字が小さいほど優先順位が高くなりますので、デフォルトの「100 すべてのトラフィック すべてのプロトコル すべてのポート 送信元0.0.0.0/0 ALLOW」の優先順位100よりも小さい優先順位の番号にして設定します。
インバウンドのルールでDENY
- VPCヘ
- ネットワークACLへ
- 該当するネットワークACLにチェック
- タブで「インバウンドのルール」をクリック
- 「インバウンドのルールの編集」をクリック
- 「ルールの追加」をクリック
- 新しいルールに90を入力
- タイプで「RDP(3389)」を選ぶ
- ポート範囲も「3389」にする
- 送信元は「0.0.0.0/0」とする
- 許可/拒否で「DENY」を選択
- 「保存」
アウトバウンドのルールでDENY
- VPCヘ
- ネットワークACLへ
- 該当するネットワークACLにチェック
- タブで「アウトバウンドのルール」をクリック
- 「アウトバウンドのルールの編集」をクリック
- 「ルールの追加」をクリック
- 新しいルールに90を入力
- タイプで「RDP(3389)」を選ぶ
- ポート範囲も「3389」にする
- 送信元は「0.0.0.0/0」とする
- 許可/拒否で「DENY」を選択
- 「保存」
MySQL/Aurora(3306)のネットワークACLについて
MySQL/Aurora(3306)もネットワークACLで送信元0.0.0.0/0にて全部DENYすると、VPC内のプライベートサブネット間のMySQL/Aurora(3306)通信もできなくなってしまいます。MySQL/Aurora(3306)は、VPCのネットワークCIDR内に限ってALLOWするなど工夫が必要です。
ネットワークACLはホワイトリスト方式で使う
開発段階で環境全体に許可するプロトコル/ポート/送信元をあらかじめ確認して、デフォルトの「100 すべてのトラフィック すべてのプロトコル すべてのポート 送信元0.0.0.0/0 ALLOW」を削除して、環境全体で許可するプロトコル/ポート/送信元 のホワイトリスト方式に書き替えることを推奨します。ネットワークACLの「100 すべてのトラフィック すべてのプロトコル すべてのポート 送信元0.0.0.0/0 ALLOW」は開発の最初に削除してホワイトリスト方式に書き換えておくことを推奨します。
