Beurteilen Sie die Auswirkungen von BPA mit Network Access Analyzer Überwachen der BPA-Auswirkungen mit Flow-Protokollen Verfolgen Sie das Löschen von Ausschlüssen mit CloudTrail Überprüfen mit Reachability Analyzer, ob die Konnektivität blockiert ist

Bewerten der Auswirkungen von BPA und Überwachen von BPA

Dieser Abschnitt enthält Informationen darüber, wie Sie die Auswirkungen von VPC BPA bewerten können, bevor Sie es aktivieren, und wie Sie überwachen, ob der Datenverkehr nach dem Aktivieren blockiert wird.

Inhalt

Beurteilen Sie die Auswirkungen von BPA mit Network Access Analyzer
Überwachen der BPA-Auswirkungen mit Flow-Protokollen
Verfolgen Sie das Löschen von Ausschlüssen mit CloudTrail
Überprüfen mit Reachability Analyzer, ob die Konnektivität blockiert ist

Beurteilen Sie die Auswirkungen von BPA mit Network Access Analyzer

In diesem Abschnitt sehen Sie sich die Ressourcen in Ihrem Konto Network Access Analyzer an, die ein Internet-Gateway verwenden, bevor Sie VPC BPA aktivieren und den Zugriff blockieren. Verwenden Sie diese Analyse, um die Auswirkungen des Aktivierens von VPC BPA in Ihrem Konto und des Blockierens von Datenverkehr zu verstehen.

Anmerkung

Network Access Analyzer unterstützt dies nicht. Sie können ihn also nicht verwenden IPv6, um die möglichen Auswirkungen von BPA auf den ausgehenden Internet-Gateway-Datenverkehr zu ermitteln, der ausschließlich für ausgehenden Internet-Gateways bestimmt ist. IPv6
Die Analysen, die Sie mit Network Access Analyzer durchführen, sind kostenpflichtig. Weitere Informationen finden Sie unter Preise im Handbuch für Network Access Analyzer .
Informationen über die regionale Verfügbarkeit von Network Access Analyzer finden Sie unter Einschränkungen im Handbuch für Network Access Analyzer.

AWS Management Console

Öffnen Sie die Network Insights-Konsole unter AWS . https://console.aws.amazon.com/networkinsights/
Wählen Sie Network Access Analyzer aus.
Klicken Sie auf Netzwerkzugriffsbereich erstellen.
Wählen Sie Auswirkungen von VPC Block Public Access bewerten und dann Weiter aus.
Die Vorlage ist bereits so konfiguriert, dass sie den Datenverkehr zu und von den Internet-Gateways in Ihrem Konto analysiert. Sie können dies unter Quelle und Ziel einsehen.
Wählen Sie Weiter.
Klicken Sie auf Netzwerkzugriffsbereich erstellen.
Wählen Sie den gerade erstellten Bereich aus und klicken Sie auf Analysieren.
Warten Sie, bis die Analyse abgeschlossen ist.
Zeigen Sie die Ergebnisse der Analyse an. Jede Zeile unter Erkenntnise zeigt einen Netzwerkpfad, den ein Paket in einem Netzwerk zu oder von einem Internet-Gateway in Ihrem Konto nehmen kann. Wenn Sie in diesem Fall VPC BPA aktivieren und keines der und/oder Subnetze, die VPCs in diesen Ergebnissen vorkommen, als BPA-Ausschlüsse konfiguriert sind, wird der Datenverkehr zu diesen VPCs und Subnetzen eingeschränkt.
Analysieren Sie jedes Ergebnis, um die Auswirkungen von BPA auf Ihre Ressourcen zu verstehen. VPCs

Die Analyse der Auswirkungen ist abgeschlossen.

AWS CLI

Erstellen Sie einen Netzwerkzugriffsbereich:


aws ec2 create-network-insights-access-scope --region us-east-2 --match-paths "Source={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" "Destination={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}"

Starten Sie die Analyse des Bereichs:


aws ec2 start-network-insights-access-scope-analysis  --region us-east-2 --network-insights-access-scope-id nis-id

Rufen Sie die Ergebnisse der Analyse ab:
```
aws ec2 get-network-insights-access-scope-analysis-findings  --region us-east-2 --network-insights-access-scope-analysis-id nisa-0aa383a1938f94cd1 --max-items 1
```
Die Ergebnisse zeigen den Verkehr zu und von den Internet-Gateways in allen Bereichen Ihres VPCs Kontos. Die Ergebnisse sind als „Ergebnisse“ zusammengefasst. "FindingId„:" AnalysisFinding -1" gibt an, dass dies das erste Ergebnis der Analyse ist. Beachten Sie, dass es mehrere Erkenntnisse gibt, die jeweils auf einen Datenverkehrsfluss hinweisen, der durch die Aktivierung von VPC BPA beeinträchtigt wird. Das erste Ergebnis zeigt, dass der Datenverkehr an einem Internet-Gateway (“ SequenceNumber „: 1) begann, an eine NACL (“ SequenceNumber „: 2) an eine Sicherheitsgruppe (“ SequenceNumber „: 3) weitergeleitet wurde und an einer Instanz (“ SequenceNumber „: 4) endete.
Analysieren Sie die Ergebnisse, um die Auswirkungen von BPA auf Ihre Ressourcen zu verstehen. VPCs

Die Analyse der Auswirkungen ist abgeschlossen.

Überwachen der BPA-Auswirkungen mit Flow-Protokollen

VPC-Flow-Protokolle ist ein Feature, mit dem Sie Informationen über den IP-Datenverkehr zu und von Elastic-Network-Schnittstellen in Ihrer VPC erfassen können. Sie können dieses Feature verwenden, um den Datenverkehr zu überwachen, der durch VPC BPA daran gehindert wird, Ihre Instance-Netzwerkschnittstellen zu erreichen.

Erstellen Sie ein Flow-Protokoll für Ihre VPC anhand der Schritte unter Arbeiten mit Flow-Protokollen.

Stellen Sie beim Erstellen des Flow-Protokolls sicher, dass Sie ein benutzerdefiniertes Format verwenden, das das Feld reject-reason enthält.

Wenn Sie die Flow-Protokolle anzeigen und der Datenverkehr zu einer ENI aufgrund von BPA abgelehnt wird, wird im Flow-Protokolleintrag ein reject-reason von BPA angezeigt.

Zusätzlich zu den standardmäßigen Einschränkungen für VPC-Flow-Protokolle sind die folgenden, für VPC BPA spezifischen Einschränkungen zu beachten:

Flow-Protokolle für VPC BPA enthalten keine übersprungenen Datensätze.
bytes sind nicht in Flow-Protokollen für VPC BPA enthalten, auch wenn Sie das Feld bytes in Ihr Flow-Protokoll aufnehmen.

Verfolgen Sie das Löschen von Ausschlüssen mit CloudTrail

In diesem Abschnitt wird erklärt, wie Sie AWS CloudTrail das Löschen von VPC-BPA-Ausschlüssen überwachen und verfolgen können.

Überprüfen mit Reachability Analyzer, ob die Konnektivität blockiert ist

VPC Reachability Analyzer kann verwendet werden, um zu bewerten, ob bestimmte Netzwerkpfade angesichts Ihrer Netzwerkkonfiguration, einschließlich der Einstellungen für VPC BPA, erreicht werden können oder nicht.

Informationen zur regionalen Verfügbarkeit von Reachability Analyzer finden Sie unter Überlegungen im Leitfaden Reachability Analyzer.

AWS Management Console

Öffnen Sie die AWS Network Insights-Konsole unterhttps://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer.
Klicken Sie auf Pfad erstellen und analysieren.
Wählen Sie als Quelltyp die Option Internet-Gateways aus und wählen Sie dann aus der Dropdown-Liste Quelle das Internet-Gateway aus, für das Sie den Datenverkehr blockieren möchten.
Wählen Sie unter Zieltyp die Option Instances aus und wählen Sie dann aus dem Dropdown-Menü Ziel die Instance aus, zu der Sie den Datenverkehr blockieren möchten.
Klicken Sie auf Pfad erstellen und analysieren.
Warten Sie, bis die Analyse abgeschlossen ist. Dies kann einige Minuten dauern.
Sobald dies abgeschlossen ist, sollten Sie sehen, dass der Erreichbarkeitsstatus Nicht erreichbar lautet und dass die Pfaddetails zeigen, dass VPC_BLOCK_PUBLIC_ACCESS_ENABLED die Ursache für dieses Erreichbarkeitsproblem ist.

AWS CLI

Erstellen Sie einen Netzwerkpfad mit der ID des Internet-Gateways, von dem aus Sie den Datenverkehr blockieren möchten (Quelle), und der ID der Instance, zu der Sie den Datenverkehr blockieren möchten (Ziel):
```
aws ec2 --region us-east-2 create-network-insights-path --source igw-id --destination instance-id --protocol TCP
```

Starten Sie eine Analyse des Netzwerkpfads:


aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id

Rufen Sie die Ergebnisse der Analyse ab:


aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id

Prüfen Sie, ob VPC_BLOCK_PUBLIC_ACCESS_ENABLED das ExplanationCode für die fehlende Erreichbarkeit ist.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

BPA-Grundlagen

Erweitertes Beispiel