Net*_*cts 5 cloud security amazon-ec2 amazon-web-services
我读过使 EC2 实例可通过 Internet 访问的最佳安全实践是将它们放在私有 VPC 子网中,在公共 VPC 子网中创建堡垒主机并使用安全组只允许来自堡垒主机的连接,然后进行密钥转发以登录私有实例。
但是,AWS 似乎提供了各种配置,这些配置似乎为实际的堡垒主机提供了类似的功能。例如,在公共子网上使用安全组似乎很不错,如果有人可以访问您的堡垒,他们似乎离您的私钥不远。无论如何,有什么地方可以找到有关此主题的更多信息?
小智 6
这是最小化攻击面的问题。
使用堡垒主机,您唯一接触开放互联网(例如任何负载均衡器)的是端口 22,该端口由相对值得信赖的软件支持。
它也是单点管理:您定义一个安全组来标识允许联系堡垒的 IP 地址,并创建一个authorized_keys包含授权用户的公钥的文件。当用户离开时,您可以从每个用户中删除一行。
相比之下,如果您仅依靠安全组来保护可公开访问的主机,则需要在每个组上复制相同的设置(并根据需要删除/更新它们)。如果您允许 SSH 访问这些主机,则必须authorized_keys在每次更改后分发文件。
虽然我不建议这样做,但在堡垒主机上打开端口 22 以进行世界访问至少是合理的。如果您有很多用户,或者这些用户通过绑定手机进行连接,那么这甚至可能是合理的。这是您永远不会想用任意服务做的事情。
您可以在此处找到使用堡垒主机的最佳实践:https : //docs.aws.amazon.com/quickstart/latest/linux-bastion/architecture.html
对堡垒主机的访问被锁定在已知的 CIDR 范围内以进行入口。这是通过将堡垒实例与安全组关联来实现的。快速入门为此目的创建了一个 BastionSecurityGroup 资源。
端口被限制为仅允许对堡垒主机进行必要的访问。对于 Linux 堡垒主机,SSH 连接的 TCP 端口 22 通常是唯一允许的端口。
请注意,创建 SSH 隧道以通过您的堡垒主机连接到给定资源是很常见的:https : //myopswork.com/transparent-ssh-tunnel-through-a-bastion-host-d1d864ddb9ae
希望能帮助到你!
| 归档时间: |
|
| 查看次数: |
1767 次 |
| 最近记录: |