Разрешение внешнего доступа к хостам-бастионам на aws

Я пытаюсь создать несколько хостов-бастионов в моем VPC на aws для подключения к моим базам данных, расположенным в частной подсети. Я использую это aws Quick start.

Я понимаю основы блоков CIDR и их значение. Однако я не понимаю, что означает aws под параметром «Разрешенный CIDR для внешнего доступа Bastion». Цитируя документацию, этот параметр означает следующее:

«Блок CIDR, который разрешает внешний доступ SSH к хостам-бастионам. Мы рекомендуем вам установить для этого значения доверенный блок CIDR. Например, вы можете захотеть ограничить доступ к своей корпоративной сети».

Я не понимаю, что мне вводить в этот параметр. Нужен ли им диапазон IP-адресов моей частной подсети, которая будет подключаться к хостам-бастионам? Или они подразумевают под этим радиус действия моей частной сети дома? И означает ли это, что я не могу подключиться по ssh к своим хостам-бастионам из любого другого места? Очевидно, я хочу ограничить доступ к своим хостам-бастионам, но я не думаю, что хочу иметь доступ к ним только из дома, поскольку я работаю из разных мест, и у нас нет частной сети в офисе.

Спасибо


amazon-web-services amazon-vpc cidr
person Marwan    schedule 12.07.2019    source источник

Ответы (2)


arrow_upward
3
arrow_downward

«Блок CIDR, который разрешает внешний доступ SSH к хостам-бастионам. Мы рекомендуем вам установить для этого значения доверенный блок CIDR. Например, вы можете захотеть ограничить доступ к своей корпоративной сети».

На высоком уровне более упрощенное представление о блоке CIDR заключается в том, что это диапазон IP-адресов, выраженный в формате CIDR, и руководство по существу говорит вам установить диапазон IP-адресов, который вы хотите разрешить для подключения к вашему Bastion. хосты. Он также предупреждает вас, чтобы вы устанавливали его только на доверенный блок CIDR, это может быть ваша корпоративная сеть, ваш собственный IP-адрес или это также может быть диапазон блоков CIDR вашей частной подсети.

Если ваша частная подсеть CIDR - 10.0.0.0/8 и вы установили блок CIDR, которому разрешено подключаться к Bastion, тогда вы разрешите подключения к Bastion с любого IP-адреса в подсети 10.0.0.0 - 10.255.255.255; это около 16,7 млн ​​IP-адресов в подсети, к которым будет разрешено подключение; при условии отсутствия других правил для входящих подключений только службы в частной подсети, имеющие IP-адрес в этом диапазоне, смогут подключиться к Bastion. Вы можете указать несколько правил для входящих подключений в своих группах безопасности, которые позволят вам подключаться из разных мест, например дома или офиса, но если у вас есть динамические IP-адреса в этих местах, вам нужно будет обновить свои группы безопасности, если IP-адрес изменится. .

При этом, несмотря на то, что это частная подсеть и нет внешнего доступа, лучше всего было бы явно указать IP-адреса, которым разрешено подключаться к вашему бастиону. Это увеличивает безопасность, уменьшает потенциальную поверхность атаки и снижает вероятность ошибок.

person hephalump    schedule 12.07.2019
comment
Итак, идея заключалась бы в том, чтобы мои базы данных оставались в частной подсети, а бастионы - в общедоступной, чтобы я мог подключаться к базам данных с помощью бастионов. Но чтобы подключиться к бастионам, я должен указать свои домашние IP-адреса, но они динамические, как мне это сделать? - person Marwan; 12.07.2019
comment
Вы можете обновлять входящие IP-адреса в группах безопасности по мере необходимости. Вы можете сделать это в консоли или через интерфейс командной строки. Это может быть неудобно, особенно если вы регулярно меняете места, но это очень безопасно. Вы также можете настроить VPN-сервер (попробуйте OpenVPN, доступный в AWS Marketplace) и установить статический IP-адрес для пользователя, которого вы будете использовать для подключения, а затем разрешить бастионные соединения только с этого IP-адреса. Конечно, подготовка коробки к серверу VPN повлечет за собой дополнительные расходы, поэтому вам придется выбирать между этой стоимостью и неудобствами. - person hephalump; 12.07.2019
comment
С удовольствием, рад, что помог! - person hephalump; 12.07.2019

arrow_upward
0
arrow_downward

Параметр «Allowed Bastion External Access CIDR» - CIDR хоста, с которого вы будете подключаться по SSH к вашему хосту-бастиону. Я использую IP-адрес своего ноутбука в виде / 32 в качестве CIDR для ограничения доступа. Если IP-адрес динамический, то ответ hephalump правильный, чтобы отредактировать группу безопасности с консоли AWS всякий раз, когда вы хотите использовать ssh для хоста-бастиона. Если вы не хотите менять группы безопасности, вам нужны другие варианты для статического IP-адреса в домашней сети, например, контейнер докеров или виртуальная машина VirtualBox, подключенная к вашей хост-сети.

person Preetdeep    schedule 12.07.2019