Come configurare l'host bastion o Jumpbox in AWS?

Question

Sto esplorando come configurare l'host di bastion come la sicurezza e la configurazione di rete su AWS.

diciamo che ho più istanze EC2. Ma non voglio abilitare SSH su ogni altra istanza EC2. Voglio utilizzare un'istanza EC2 appositamente configurata come host bastion su cui posso eseguire SSH dal mio IP privato (solo); e una volta che sono sull'istanza host bastion o sull'istanza Jumpbox, voglio fare SSH su qualsiasi altra istanza EC2 nel mio VPC.

È disponibile un'istanza AMI che posso utilizzare come Jumpbox o host di bastion? In modo che io possa utilizzare un solo host bastion per fare SSH in qualsiasi altra istanza EC2 all'interno del mio VPC.

Ho visto pochi jumpbox EC2 AMI, ma suppongo che vengano usati più come tipo di distribuzione Bitnami e non fungano da host bastion.

Answer 1

Poiché i gruppi di sicurezza AWS ti consentono di consentire un determinato IP o un particolare intervallo di IP per SSH in ingresso, è un po 'inutile avere un host Bastion per questo caso d'uso. Il Docs ti insegna come farlo.

L'unica volta che è necessario un host bastione su AWS è se è necessario SSH in istanze che si trovano in una subnet privata. Per ottenere istanze in una sottorete privata da Internet, è necessario SSH in un'istanza in una sottorete pubblica e da tale istanza bastonata sarà necessario SSH per l'istanza nella subnet privata che utilizza l'IP privato.

È abbastanza semplice da configurare. Non hai bisogno di AMI fantasiose o qualcosa del genere e deve solo essere qualcosa di piccolo come un t2.micro. Basta avviare qualsiasi istanza, ad esempio Amazon Linux in una sottorete pubblica. Assicurati che il gruppo di sicurezza consenta il tuo IP sulla porta 22 e SSH al suo interno. Quindi dovrai consentire all'host bastion di accedere alle istanze desiderate con gruppi di sicurezza.

Una volta impostato, puoi SSH nel tuo bastione e da lì puoi semplicemente SSH nell'istanza desiderata.

Questi link possono aiutare:

Securely connect to Linux Instance in Private Subnet in VPC

Controlling Network Access to EC2 instance using Bastion Server

Tuttavia, un altro modo per aggirare l'accesso ai casi in una sottorete privata è quello di impostare una VPN.

Ma il modo migliore per bloccare le istanze è utilizzare i gruppi di sicurezza e consentire solo gli IP desiderati alle istanze.

Answer 2

A partire dal Sep 21, 2016, AWS ha pubblicato una distribuzione Quick Start di riferimento (un modello CloudFormation e le attività associati) che istituisce un bastion host per accedere in modo sicuro le istanze in una VPC privato:

• Linux Bastion Hosts on AWS - Pagina di benvenuto
• Linux Bastion Hosts on the AWS Cloud: Quick Start Reference Deployment - Guida alla distribuzione
• aws-quickstart/quickstart-linux-bastion - codice sorgente su GitHub