Как настроить хост bastion или Jumpbox в AWS?

Я изучаю, как настроить хост bastion как безопасность и сетевую конфигурацию на AWS.

позволяет сказать, что у меня несколько экземпляров EC2. Но я не хочу включать SSH в каждый другой экземпляр EC2. Я хочу использовать специально сконфигурированный экземпляр EC2 как хост bastion, на котором я могу делать SSH с моего личного IP (только); и как только я нахожусь на экземпляре хоста bastion или экземпляре Jumpbox, я хочу сделать SSH для любого другого экземпляра EC2 в моем VPC.

Есть ли какой-либо экземпляр AMI, который я могу использовать в качестве Jumpbox или bastion host? Так что я могу использовать только один бастионный хост для SSH в любых других экземплярах EC2 в моем VPC.

Я видел несколько скачков EC2 AMI, но я предполагаю, что они используются больше как тип распространения Bitnami и не действуют как хост bastion.

Ответ 1

Поскольку группы безопасности AWS позволят вам разрешить определенный IP-адрес или конкретный диапазон IP-адресов для входа в SSH, это бессмысленно, имея Bastion Host для этого варианта использования. Docs научит вас, как это сделать.

Единственный раз, когда вам нужен хост Bastion на AWS, вам нужно, чтобы SSH был в экземплярах, находящихся в частной подсети. Чтобы получить экземпляры в частной подсети из Интернета, вам нужно SSH в экземпляр в общедоступной подсети, а из этого экземпляра бастиона вам понадобится SSH для вашего экземпляра в частной подсети, используя его частный IP.

Это довольно просто настроить. Вам не нужны какие-либо причудливые AMI или что-то в этом роде, и это действительно должно быть чем-то маленьким, как t2.micro. Просто запустите любой экземпляр eg.Amazon Linux в общедоступной подсети. Убедитесь, что группа безопасности разрешает ваш IP-адрес на порту 22 и SSH. Затем вам нужно будет разрешить хосту bastion доступ к вашим желаемым экземплярам с группами безопасности.

После того, как вы настроите это, вы можете использовать SSH в своем бастионе, а оттуда вы можете просто SSH в нужный вам экземпляр.

Эти ссылки могут вам помочь:

Безопасное подключение к экземпляру Linux в частной подсети в VPC

Управление доступом к сети с экземпляром EC2 с использованием Bastion Server

Однако другой способ доступа к экземплярам в частной подсети - настроить VPN.

Но лучший способ заблокировать ваши экземпляры - использовать группы безопасности и разрешать только нужные вам IP-адреса.

Ответ 2

Начиная с 21 сентября 2016 года, AWS опубликовал Быстрый старт (шаблон CloudFormation и связанные с ним активы), который устанавливает хост bastion для безопасного доступа к экземплярам в приватном VPC:

Linux Bastion Hosts на AWS - приветственная страница
Linux Bastion Hosts в облаке AWS: быстрое развертывание справочной системы - Руководство по развертыванию
aws-quickstart/quickstart-linux-bastion - исходный код на GitHub