Security

鎖定 AWS 實例連接

  • October 7, 2018

我有幾個 EC2 實例,包括前端伺服器、後端伺服器、數據庫伺服器和節點伺服器。它們都一起通信,有時開發人員需要訪問這些伺服器,因此我打開了某些埠以在驗證後接受來自任何 IP 的連接。

由於我不是安全專家,我擔心我可能會遺漏一些東西,並且向大眾開放這些埠可能會使我的伺服器被不受歡迎的客人訪問。因此,我正在考慮鎖定與我的伺服器的所有連接,只接受它們所連接的 VPC(虛擬私有云)網路。因此,對於任何人,包括我的開發人員,都能夠訪問他們首先連接 VPC 的伺服器。這就是為什麼來自不受歡迎的各方的所有連接都會被 AWS 雲防火牆自動拒絕。

我的問題在這裡,我可以用什麼來做到這一點?或者最好的方法是什麼?我有幾個針對不同場景的教程,但我不知道什麼會起作用。我有一篇關於 AWS VPN CloudHub、來自市場的 VPN 伺服器以在普通 EC2 實例或 AWS 託管 VPN 連接上執行的文章。

編輯:我還發現了一項名為AWS PrivateLink的服務

您應該將堡壘主機DMZ一起使用。

堡壘主機

也稱為“跳轉主機”。您的應用程序伺服器(應用程序、數據庫等)已設置好,因此沒有從 Internet 到它們的直接路由,只有到 Web 伺服器。如果這些後端伺服器需要網際網路訪問,比如更新,那麼您可以使用NAT 網關NAT 實例

任何伺服器管理,埠 22 / RDP,都必須通過堡壘。該堡壘被多種方法鎖定,包括僅接受來自特定 IP 地址的請求(使用安全組和/或 NACL)以及需要證書才能登錄(無論如何這是 AWS 的預設設置)。您可能會發瘋並實施多因素身份驗證,但我不知道該怎麼做 - 從未嘗試過。

非軍事區

DMZ 是 N 層架構的一部分。它有助於確保沒有從 Internet 到您的應用程序/數據庫伺服器的路由。

其他選項

另一種選擇是將您的 Web 伺服器放在 WAF / CDN 後面,例如AWS CloudFrontCloudFlare(有免費套餐)。這些通常會辨識並阻止第 7 層攻擊和 DDOS 攻擊。您使用防火牆確保沒有人可以直接連接到您的 Web 伺服器,它們必須通過 WAF / CDN。

AWS 負載均衡器包括 AWS Shield Basic,它提供了另一道防線。安全通常與防禦分層有關。

入侵保護/檢測是您可以做的另一件事,但它並非微不足道,可能超出您的需要。

筆記

你可以做很多其他的事情,但上面的那些可能是主要的。需要高安全性的系統往往需要多名安全專業人員工作數週或數月來保護它們。

Privatelink 不太可能對您有幫助。它是直接連接到 VPC 以共同提供服​​務,而不是通過 Internet。

引用自:https://serverfault.com/questions/934359