ฉันกำลังมองหาการชี้แจงเกี่ยวกับสิ่งที่ฉันเห็นว่าเป็นปัญหาที่อาจเกิดขึ้นกับกลุ่มความปลอดภัย EC2

ฉันตั้งค่ากลุ่มรักษาความปลอดภัยสำหรับเชื่อมต่อกับอินสแตนซ์ของ linux ฉันได้สร้างกฎ "ที่ใดก็ได้" สำหรับการเข้าถึง HTTP และ HTTPS

สำหรับกฎ SSH ของฉัน, Amazon กวดวิชากล่าวว่าฉันควรจะจำกัด การเข้าถึงขาเข้ากับที่อยู่

1. สิ่งที่ฉันไม่ได้รับคือความปลอดภัยหรือใช้งานได้หากที่อยู่ IP สาธารณะของคุณเป็นแบบไดนามิกหรือไม่

2. ที่อยู่ IP ของฉันเป็นแบบไดนามิกดังนั้นจะเกิดอะไรขึ้นเมื่อ ISP ของฉันเปลี่ยน IP สาธารณะของฉันและฉันไม่สามารถ ssh เป็นอินสแตนซ์ของฉันได้อีกต่อไป?

ลิงก์ไปยังคู่มือการตั้งค่าที่ฉันใช้: http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/get-set-up-for-amazon-ec2.html (ขั้นตอนที่ 7 ของ 'สร้างกลุ่มความปลอดภัย 'เป็นสิ่งที่มีปัญหากับฉัน)

สิ่งที่ฉันไม่ได้รับคือความปลอดภัยหรือใช้งานได้หากที่อยู่ IP สาธารณะของคุณเป็นแบบไดนามิกหรือไม่

วิธีนี้สามารถใช้งานได้หากคุณพบว่า IP ของคุณไม่เปลี่ยนแปลงบ่อยนักหรือถ้าคุณต้องการเข้าถึงเพียงช่วงเวลาสั้น ๆ เพิ่มความปลอดภัยอีกชั้นหนึ่งเนื่องจาก SSH ไม่ได้รับการรับส่งข้อมูลนอก CIDR ที่คุณจัดหา

หาก CIDR ที่เฉพาะเจาะจงไม่ทำงานคุณสามารถลองหรือมากกว่าบอร์ด CIDR ที่ ISP ของคุณมีแนวโน้มที่จะใช้ซึ่งจะ จำกัด การเข้าถึงจากเปอร์เซ็นต์อินเทอร์เน็ตขนาดใหญ่และนั่นคือชัยชนะเพื่อความปลอดภัย

จะเกิดอะไรขึ้นเมื่อ ISP ของฉันเปลี่ยน IP สาธารณะของฉันและฉันไม่สามารถเปลี่ยนเป็นอินสแตนซ์ของฉันได้อีก

คุณสามารถเข้าสู่คอนโซล AWS หรือใช้ CLI เพื่ออัปเดตกฎกลุ่มความปลอดภัยได้ทันที

คุณสามารถเขียนสคริปต์ที่โต้ตอบกับ CLI โดยตรง อาจเป็นเรื่องง่ายเหมือนสิ่งที่ตรวจสอบPort 22 ruleกับ IP ปัจจุบันของคุณและอัปเดตหากมันแตกต่างกัน แน่นอนว่าการใช้งานสคริปต์ดังกล่าวอาจทำให้เกิดคำถามความปลอดภัยมากกว่า :)

IP ไฟร์วอลล์เป็นวิธีที่ดีที่สุดในการรักษาความปลอดภัย SSH หรือไม่

ในขณะที่มันเป็นเรื่องดีที่จะ จำกัด การรับส่งข้อมูล SSH ไปยังแหล่ง IP ที่เชื่อถือได้เท่านั้นซึ่งในทางปฏิบัติสิ่งที่ทำให้ ssh ปลอดภัยคือการใช้คีย์ส่วนตัวและการกำหนดค่าที่สมเหตุสมผล

รายการสำคัญที่ต้องพิจารณา:

• เพิ่มข้อความรหัสผ่านให้กับคีย์ส่วนตัว SSH ของคุณ
• ปิดการใช้รหัสผ่านรับรองความถูกต้องเป็น SSH
• ปิดใช้งานการลงชื่อเข้าใช้รูทเป็น SSH
• ตรวจสอบบัญชีผู้ใช้ทั้งหมดสำหรับกุญแจสาธารณะของ SSH

คุณสามารถทำบางสิ่งเพื่อกำจัด 'เสียงรบกวน' ที่เกี่ยวข้องกับการโจมตีด้วยกำลังดุร้าย:

• รัน ssh บนพอร์ตที่สูงกว่า
• ใช้ซอฟต์แวร์เช่น fail2ban ซึ่งจะบันทึกความพยายามล้มเหลวจำนวนมากแบบไดนามิกและบล็อกช่วง IP ตามช่วงเวลาที่กำหนด

เป็นการดีที่จะ จำกัด การเข้าถึงเซิร์ฟเวอร์ SSH ของคุณตามที่อยู่ IP แต่ SSH ไม่ได้ใช้สิ่งนั้นเพื่อความปลอดภัย หากคุณปิดใช้งานการเข้าสู่ระบบด้วยรหัสผ่าน ( PasswordAUthentication no) และใช้การรับรองความถูกต้องของคีย์ส่วนตัวเท่านั้นจะไม่มีใครสามารถเข้าใช้งานได้หากไม่มีรหัสส่วนตัวของคุณ มันปลอดภัย.

ดังนั้นไม่ต้องกังวลกับกฎไฟร์วอลล์หากคุณไม่ต้องการ

คุณสามารถเพิ่มช่วง CIDR ให้กับกลุ่มความปลอดภัยที่แสดงถึง superset ของ IP ทั้งหมดที่ ISP ของคุณสามารถจัดสรรให้คุณได้

อาจเป็นเช่นนั้นหรือใช้ AWS API เพื่ออัปเดตกลุ่มความปลอดภัยของคุณแบบไดนามิก

มีวิธีแก้ไขปัญหาล่าสุดสองสามข้อที่เก่ากว่านี้:

จากภายใน AWS: วิธีอัปเดตกลุ่มความปลอดภัยของคุณโดยอัตโนมัติสำหรับ Amazon CloudFront และ AWS WAF โดยใช้ AWS Lambda

การอัพเดตแบบรีโมตจากซอร์สแบบไดนามิก (สคริปต์ node.js): สคริปต์โหนด aws-ec2-ssh-secgroup-update

การอัปเดตระยะไกลจากแหล่งไดนามิก (สคริปต์ Python): เพิ่ม IP สาธารณะปัจจุบันให้กับกลุ่มความปลอดภัยโดยอัตโนมัติเพื่ออนุญาตการรับส่งข้อมูลบนพอร์ตเฉพาะ

คุณสามารถใช้คำสั่งaws_ipaddเพื่ออัปเดตและจัดการกฎกลุ่มความปลอดภัย AWS ได้อย่างง่ายดายและยกเว้น IP สาธารณะของคุณด้วยพอร์ตทุกครั้งที่มีการเปลี่ยนแปลง

$ aws_ipadd my_project_ssh
 Your IP 10.10.1.14/32 and Port 22 is whitelisted successfully.

$ aws_ipadd my_project_ssh
 Modifying existing rule...
 Removing old whitelisted IP '10.10.1.14/32'.
 Whitelisting new IP '10.4.10.16/32'.
 Rule successfully updated!

คุณสามารถใช้ AWS CLI เพื่อเพิ่มหรือลบกฎการเข้าถึงสำหรับ SSH แบบไดนามิกในกลุ่มความปลอดภัยของคุณ มีวิธีอนุญาต API ความปลอดภัยกลุ่มเข้าและเพิกถอนความปลอดภัยกลุ่มกลุ่มทางเข้า

ฉันเพิ่งเผยแพร่โพสต์บล็อกเกี่ยวกับเรื่องนี้ในกรณีที่คุณต้องการคำอธิบายทีละขั้นตอน