Amazon EC2 Private IP สามารถเข้าถึงได้จากอินสแตนซ์ใด ๆ ที่ทำงานใน EC2 หรือไม่

12

หลังจากค้นหาคำถามก่อนหน้านี้ที่นี่ฉันทามติทั่วไปน่าจะเป็นว่าอินสแตนซ์ที่ฉันเป็นเจ้าของได้รับการกำหนด IP ส่วนตัวของ 10.208.34.55 ว่ามีเพียงสถาบันอื่น ๆ ที่ฉันเป็นเจ้าของเท่านั้นที่สามารถเข้าถึงได้ตามที่อยู่นั้น ดู:

วิธีเข้ารหัสทราฟฟิกระหว่างสองอินสแตนซ์ Amazon EC2

ถูกต้องหรือไม่ ดังนั้นฉันสามารถรักษาอินสแตนซ์ทั้งหมดของฉันราวกับว่าพวกเขาอยู่บน LAN และรับรองความถูกต้องและเชื่อถือเครื่องใด ๆ ที่มาจาก 10.XXX.XXX.XXX เพราะฉันแน่ใจว่าฉันเป็นเจ้าของมัน

ฉันแค่อยากจะแน่ใจ ฉันพบว่าอเมซอนดูเหมือนว่าจะสนใจในบทกวีแว็กซ์เกี่ยวกับ The Cloud และตัวย่อ 3 ตัวของมันมากกว่าที่เป็นจริงโดยให้เอกสารทางเทคนิคที่ชัดเจน

networking  security  amazon-ec2  amazon-web-services 
jberryman
แหล่งที่มา

คำตอบ:

12

Amazon EC2 จัดให้มีกลุ่มความปลอดภัยซึ่งอินสแตนซ์ของคุณเป็นส่วนหนึ่งของสิ่งนี้ช่วยให้คุณให้สิทธิ์แก่กลุ่มโฮสต์อื่น ๆ ในบัญชีของคุณหรือโฮสต์ภายนอกอื่น ๆ ดูที่ [คู่มือผู้ใช้] [1] -> แนวคิด -> ความปลอดภัยเครือข่ายสำหรับภาพรวมเล็กน้อย

โดยปกติในกลุ่มความปลอดภัย "เริ่มต้น" คุณจะสามารถเข้าถึงสมาชิกคนอื่น ๆ ในกลุ่มได้อย่างเต็มที่ (เช่นโฮสต์เริ่มต้นอื่น ๆทั้งหมดของคุณ ) และไม่มีการเข้าถึงขาเข้าจากภายนอก โฮสต์อื่น ๆ ภายใน EC2 ที่อยู่ในบัญชีอื่นหรือในบัญชีของคุณ แต่ไม่อยู่ใน "กลุ่มเริ่มต้นจะไม่สามารถเข้าถึงอินสแตนซ์ของคุณได้

คุณสามารถเพิ่มกฎสำหรับกลุ่มความปลอดภัยเพื่อให้สิทธิ์การเข้าถึงกลุ่มความปลอดภัยอื่น ๆ หรือเพิ่มกฎเพื่อให้สิทธิ์การเข้าถึงที่อยู่ IP / ช่วง

หากต้องการตอบคำถามของคุณเพิ่มเติมอีกเล็กน้อย: ตราบใดที่กฎกลุ่มความปลอดภัยอนุญาตให้เข้าถึงได้จากกลุ่มเดียวกันเท่านั้นอินสแตนซ์ของคุณควรถูกไฟร์วอลล์จากการเข้าถึงโดยลูกค้ารายอื่นแม้ว่าพวกเขาจะแบ่งปันพื้นที่ IP เดียวกันก็ตาม

[1]: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/คู่มือผู้ใช้ EC2

Dominic Cleal
แหล่งที่มา
1

แกเร็ ธ - ฉันคิดว่าทั้งสองกลุ่มเปิดพอร์ต SSH ดังนั้น SSH ที่ประสบความสำเร็จจากบัญชีหนึ่งไปอีกบัญชีหนึ่งไม่ได้บ่งบอกถึงข้อสรุปของคุณ แนวคิดนั้นง่าย - ภายในกลุ่มรักษาความปลอดภัย - พอร์ตทั้งหมดเปิด - เข้าถึงภายนอก - เป็นไปตามคำนิยามของคุณ - และสำหรับเรื่องนั้นกลุ่มอื่นใน Amazon ก็เหมือนกับการเข้าถึงภายนอก

-1

คำตอบคือไม่ดังก้อง - ฉันมีบัญชี EC2 หลายบัญชีและเพิ่งลองลงชื่อเข้าใช้หนึ่งในอินสแตนซ์ของฉันในบัญชี A จากอินสแตนซ์อื่นในบัญชี B ฉันสามารถ SSH จาก B เป็น A โดยไม่มีปัญหา (นอกเหนือจากต้องการ SSH รหัสสำหรับบัญชี A)

คุณควรสมมติว่าทุกคนใน 10.0.0.0/8 ของคุณสามารถเข้าถึงอินสแตนซ์ของคุณได้อีกครั้งโดยไม่ต้องคำนึงถึงบัญชี EC2 ที่ใช้

gareth_bowles
แหล่งที่มา
3
คุณมีสิทธิ์ความปลอดภัยในอินสแตนซ์ใด ไม่มีใครควรสามารถเข้าถึงอินสแตนซ์ของคุณได้ตามค่าเริ่มต้น แต่ก็มักจะแนะนำในบทช่วยสอนเพื่อเปิดใช้ tcp / 22 (SSH) ให้กับโลกใบนี้เพื่อให้คุณสามารถเข้าถึงเครื่องได้ ใช้ ElasticFox หรือ "ec2-description-group" เพื่อตรวจสอบสิทธิ์สำหรับกลุ่มความปลอดภัยที่คุณเปิดใช้งานอินสแตนซ์ใน ("ค่าเริ่มต้น" หรือไม่) คุณอาจเห็นการเข้าถึงแบบเต็มรูปแบบที่ได้รับอนุญาตจากสมาชิกของกลุ่มความปลอดภัยเดียวกันและการเข้าถึง SSH ทั่วโลก (ซึ่งคุณต้องเพิ่ม)
Dominic Cleal
คุณพูดถูกฉันเปิดใช้งานการเข้าถึงทั่วโลกสำหรับพอร์ต 22 ซึ่งดูเหมือนปลอดภัยเนื่องจากคุณยังต้องใช้ SSH Keypair เพื่อเข้าถึงอินสแตนซ์
gareth_bowles
หากเปิดไว้จะทำให้คุณต้องถูกโจมตี - หมายถึง SSH daemon ของคุณต้องรับฟังคำร้องขอที่เข้ามาและอาจให้ยืมตัวเองจากการโจมตี Denial of Service บางครั้งสิ่งนี้ถูกลดทอนลงโดยการเพิ่มบางอย่างเช่น fail2ban หรือจอภาพอื่น ๆ ไปยังโฮสต์เพื่อดูการเข้าสู่ระบบที่ล้มเหลวและเปิดกฎไฟร์วอลล์อินสแตนซ์ผ่าน iptables / ipfw
cgseller
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.