security - tier - ¿Cómo configurar bastion host o Jumpbox en AWS?
aws security resources (3)
Estoy explorando cómo configurar el host bastion como la seguridad y la configuración de red en AWS.
Digamos que tengo múltiples instancias de EC2. Pero no quiero habilitar SSH en todas las demás instancias de EC2. Quiero usar una instancia de EC2 especialmente configurada como host de bastión en el que puedo hacer SSH desde mi IP privada (solo); y una vez que esté en la instancia de host bastion o en la instancia de Jumpbox, quiero hacer SSH a cualquier otra instancia de EC2 en mi VPC.
¿Hay alguna instancia de AMI disponible que pueda usar como Jumpbox o host de bastión? De modo que puedo usar solo un host de bastión para hacer SSH en cualquier otra instancia de EC2 dentro de mi VPC.
Vi algunos jumpbox EC2 AMI, pero creo que se están utilizando más como el tipo de distribución de Bitnami y no actúan como host de bastión.
A partir del 21 de septiembre de 2016 , AWS ha publicado una implementación de referencia de inicio rápido (una plantilla de CloudFormation y activos asociados) que configura un host de bastión para acceder de forma segura a instancias en una VPC privada:
- Linux Bastion Hosts en AWS - página de bienvenida
- Linux Bastion Hosts en la nube de AWS: Implementación de referencia de inicio rápido - Guía de implementación
- aws-quickstart/quickstart-linux-bastion - código fuente en GitHub
Como los grupos de seguridad de AWS le permitirán permitir una IP particular, o un rango particular de IP para SSH Inbound, es inútil tener un Bastion Host para este caso de uso. Los Docs te enseñan cómo hacer esto.
La única vez que necesitará un Bastion Host en AWS es si necesita SSH en instancias que están en una subred privada. Para acceder a instancias en una subred privada desde Internet, debe ingresar SSH a una instancia en una subred pública, y desde esa instancia de bastión, deberá SSH a su instancia en la subred privada usando su IP privada.
Es bastante simple de configurar. No necesitas AMI de lujo ni nada por el estilo y solo necesita ser algo pequeño como un t2.micro. Simplemente inicie cualquier instancia, por ejemplo, Linux en una subred pública. Asegúrese de que su grupo de seguridad permita su IP en el puerto 22 y SSH en él. Luego, deberá permitir que el host del bastión acceda a las instancias que desee con grupos de seguridad.
Una vez que tenga esta configuración, puede SSH en su bastión, y desde allí puede simplemente SSH en la instancia deseada.
Estos enlaces pueden ayudarlo a:
Conéctese de forma segura a la instancia de Linux en una subred privada en VPC
Control de acceso de red a la instancia de EC2 utilizando Bastion Server
Sin embargo, otra forma de acceder a las instancias en una subred privada es configurar una VPN.
Pero la mejor manera de bloquear sus instancias es usar grupos de seguridad y solo permitir sus IP deseadas a sus instancias.
Si una solución basada en web es adecuada, deberías probar Bastillion
https://aws.amazon.com/marketplace/pp/B076D7XMK6
Incluso puede usar etiquetas para restringir el acceso de los usuarios a las instancias.