Các IP riêng của Amazon EC2 có thể truy cập được từ bất kỳ phiên bản nào đang chạy trong EC2 không?

12

Sau khi tìm kiếm các câu hỏi trước đây, sự đồng thuận chung dường như là nếu một trường hợp mà tôi sở hữu được gán một IP riêng là 10.208.34.55, chỉ những TÀI KHOẢN KHÁC tôi có thể tiếp cận tại địa chỉ đó. Xem:

Làm cách nào để mã hóa lưu lượng giữa hai phiên bản Amazon EC2?

Đúng không? Vì vậy, tôi có thể coi tất cả các trường hợp của mình như thể chúng ở trên mạng LAN và xác thực và tin tưởng bất kỳ máy nào đến từ 10.XXX.XXX.XXX vì tôi có chắc chắn mình sở hữu nó không?

Tôi chỉ muốn chắc chắn. Tôi thấy rằng amazon dường như khá thích thú với việc viết thơ về The Cloud và các chữ viết tắt 3 ký tự của họ hơn là thực tế cung cấp tài liệu kỹ thuật rõ ràng.

networking  security  amazon-ec2  amazon-web-services 
dâu
nguồn

Câu trả lời:

12

Amazon EC2 cung cấp các nhóm bảo mật mà phiên bản của bạn là một phần của, sau đó điều này cho phép bạn cấp quyền cho các nhóm máy chủ khác trên tài khoản của bạn hoặc các máy chủ bên ngoài khác. Xem [Hướng dẫn sử dụng] [1] -> Khái niệm -> Bảo mật mạng để biết tổng quan nhỏ.

Thông thường trong nhóm bảo mật "mặc định", bạn có toàn quyền truy cập vào các thành viên khác trong nhóm (tức là tất cả các máy chủ mặc định khác của bạn ) và không có quyền truy cập bên ngoài. Các máy chủ khác trong EC2 trên các tài khoản khác hoặc trên tài khoản của bạn nhưng không thuộc "nhóm mặc định sẽ không thể truy cập vào thể hiện của bạn.

Bạn có thể thêm quy tắc cho nhóm bảo mật để cấp quyền truy cập cho các nhóm bảo mật khác hoặc thêm quy tắc để cấp quyền truy cập vào địa chỉ / phạm vi IP.

Để trả lời câu hỏi của bạn trực tiếp hơn một chút: miễn là các quy tắc nhóm bảo mật của bạn chỉ cho phép truy cập từ cùng một nhóm, thì các trường hợp của bạn sẽ được tường lửa truy cập bởi bất kỳ khách hàng nào khác, mặc dù họ có chung không gian IP.

[1]: http://docs.amazonwebservice.com/AWSEC2/latest/UserGuide/ Hướng dẫn sử dụng EC2

Đam mê
nguồn
1

Gareth - Tôi cho rằng cả hai nhóm đều mở cổng SSH, do đó SSH thành công từ tài khoản này sang tài khoản khác không cho biết kết luận của bạn. Ý tưởng rất đơn giản - trong một nhóm bảo mật - tất cả các cổng đều mở - truy cập bên ngoài - theo định nghĩa của bạn - và đối với vấn đề đó, một nhóm khác trong Amazon cũng giống như truy cập bên ngoài.

-1

Câu trả lời là KHÔNG - tôi có nhiều tài khoản EC2 và chỉ cần thử đăng nhập vào một trong các phiên bản của tôi trên tài khoản A từ một phiên bản khác trên tài khoản B. Tôi không thể SSH từ B sang A mà không gặp vấn đề gì (ngoài việc cần SSH khóa cho tài khoản A).

Bạn nên cho rằng bất kỳ ai trong 10.0.0.0/8 của bạn đều có thể truy cập vào các phiên bản của bạn, bất kể tài khoản EC2 nào họ đang sử dụng.

gareth_bowles
nguồn
3
Bạn có quyền bảo mật nào trên ví dụ? Không ai có thể truy cập vào cá thể của bạn theo mặc định, nhưng thường được khuyến nghị trong các hướng dẫn để mở tcp / 22 (SSH) ra thế giới để bạn có thể truy cập vào máy. Sử dụng ElasticFox hoặc "ec2-description-group" để kiểm tra các quyền cho nhóm bảo mật mà bạn đang khởi chạy thể hiện trong ("mặc định"?). Bạn có thể sẽ thấy quyền truy cập đầy đủ được phép từ các thành viên của cùng một nhóm bảo mật và có thể là quyền truy cập SSH toàn cầu (mà bạn phải thêm).
Đột kích Dominic
Bạn nói đúng, tôi đã kích hoạt quyền truy cập toàn cầu cho cổng 22 - có vẻ an toàn vì bạn vẫn cần khóa SSH để truy cập các phiên bản.
gareth_bowles
Việc mở nó sẽ khiến bạn phải chịu các cuộc tấn công - có nghĩa là trình nền SSH của bạn phải lắng nghe các yêu cầu đến và nó có thể tự cho mình một cuộc tấn công từ chối dịch vụ. Điều này đôi khi được giảm thiểu bằng cách thêm một cái gì đó như fail2ban hoặc một số màn hình khác vào máy chủ để theo dõi thông tin đăng nhập thất bại và bật quy tắc tường lửa cá thể thông qua iptables / ipfw.
Csseller
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.