Comment configurer l'hôte bastion ou Jumpbox dans AWS?
J'explore comment configurer bastion Host comme la sécurité et la configuration réseau sur AWS.
disons que j'ai plusieurs instances EC2. Mais je ne veux pas activer SSH sur toutes les autres instances EC2. Je veux utiliser une instance EC2 spécialement configurée comme hôte bastion sur lequel je peux faire SSH à partir de mon IP privée (uniquement); et une fois que je suis sur l'instance Host bastion ou l'instance Jumpbox, je veux faire SSH sur n'importe quelle autre instance EC2 dans mon VPC.
Existe-t-il une instance AMI que je peux utiliser comme hôte Jumpbox ou bastion? Pour que je puisse utiliser un seul hôte bastion pour faire SSH dans toutes les autres instances EC2 de mon VPC.
J'ai vu quelques jumpbox EC2 AMI, mais je suppose qu'ils sont davantage utilisés comme le type de distribution Bitnami et n'agissent pas comme bastion Host.
Comme les groupes de sécurité AWS vous permettront d'autoriser une IP particulière ou une plage particulière d'adresses IP pour SSH Inbound, il est inutile d'avoir un hôte Bastion pour ce cas d'utilisation. Les Docs vous apprennent comment procéder.
La seule fois où vous auriez besoin d'un hôte Bastion sur AWS, c'est si vous avez besoin de SSH dans des instances qui se trouvent dans un sous-réseau privé. Pour accéder aux instances dans un sous-réseau privé à partir d'Internet, vous devez SSH dans une instance dans un sous-réseau public, et à partir de cette instance bastion, vous devrez SSH vers votre instance dans le sous-réseau privé en utilisant son IP privée.
C'est assez simple à installer. Vous n'avez pas besoin d'AMI sophistiquées ou de quelque chose comme ça et il suffit vraiment d'être quelque chose de petit comme un t2.micro. Il suffit de lancer n'importe quelle instance, par exemple, Amazon Linux dans un sous-réseau public. Assurez-vous que son groupe de sécurité autorise votre IP sur le port 22 et SSH dedans. Ensuite, vous devrez autoriser l'accès de l'hôte bastion à vos instances souhaitées avec des groupes de sécurité.
Une fois que vous avez cette configuration, vous pouvez SSH dans votre bastion, et à partir de là, vous pouvez simplement SSH dans votre instance souhaitée.
Ces liens peuvent vous aider:
Connectez-vous en toute sécurité à l'instance Linux dans un sous-réseau privé dans VPC
Contrôle de l'accès réseau à l'instance EC2 à l'aide de Bastion Server
Cependant, un autre moyen d'accéder aux instances d'un sous-réseau privé consiste à configurer un VPN.
Mais la meilleure façon de verrouiller vos instances est d'utiliser des groupes de sécurité et de n'autoriser que vos adresses IP souhaitées à vos instances.
À partir du 21 septembre 2016 , AWS a publié un déploiement de référence Quick Start (un modèle CloudFormation et les actifs associés) qui configure un hôte bastion pour accéder en toute sécurité aux instances dans un environnement privé VPC:
- Hôtes Linux Bastion sur AWS - page d'accueil
- Linux Bastion Hosts on the AWS Cloud: Quick Start Reference Deployment - Guide de déploiement
- aws-quickstart/quickstart-linux-bastion - code source sur GitHub