Czy prywatne adresy IP Amazon EC2 są dostępne z dowolnej instancji uruchomionej w EC2?

12

Po przeszukaniu poprzednich pytań tutaj ogólny konsensus wydaje się być taki, że do instancji, której jestem właścicielem, przypisano prywatny adres IP 10.208.34.55, że tylko INNE INSTANCJE, które posiadam, mogą do niego dotrzeć pod tym adresem. Widzieć:

Jak szyfrować ruch między dwoma instancjami Amazon EC2?

Czy to jest poprawne? Więc mogę traktować wszystkie moje instancje jak w sieci LAN oraz uwierzytelniać i ufać dowolnej maszynie pochodzącej z 10.XXX.XXX.XXX, ponieważ jestem pewien, że jestem jej właścicielem?

Chcę tylko być pewien. Przekonałem się, że Amazon wydaje się bardziej zainteresowany woskowatym poetyckim opowiadaniem o Chmurze i ich 3-znakowych skrótach, niż faktycznym dostarczeniem jasnej dokumentacji technicznej.

networking security amazon-ec2 amazon-web-services jberryman
źródło

Odpowiedzi:

12

Amazon EC2 zapewnia grupy bezpieczeństwa, których częścią jest twoje wystąpienie, a następnie pozwala ci udzielać uprawnień innym grupom hostów na twoim koncie lub innym hostom zewnętrznym. Zobacz [Podręcznik użytkownika] [1] -> Pojęcia -> Bezpieczeństwo sieci, aby uzyskać krótki przegląd.

Normalnie w „domyślnym” grupy zabezpieczeń masz pełny dostęp do innych członków grupy (czyli wszystkich z twoich innych hostów domyślnych) i bez zewnętrznego dostępu przychodzącego. Inne hosty w EC2, które są na innych kontach lub na twoim koncie, ale nie znajdują się w „grupie domyślnej”, nie będą miały dostępu do twojej instancji.

Możesz dodać reguły dla grupy zabezpieczeń, aby udzielić dostępu do innych grup zabezpieczeń, lub dodać reguły, aby udzielić dostępu do adresów / zakresów IP.

Aby odpowiedzieć na twoje pytanie nieco bardziej bezpośrednio: tak długo, jak reguły grupy zabezpieczeń zezwalają na dostęp tylko z tej samej grupy, twoje instancje powinny być zapory ogniowej przed dostępem każdego innego klienta, nawet jeśli mają tę samą przestrzeń IP.

[1]: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/ EC2 Podręcznik użytkownika

Dominic Cleal
źródło
1

Gareth - Zakładam, że obie grupy mają otwarty port SSH, dlatego udane SSH z jednego konta na drugie nie oznacza twojego wniosku. Pomysł jest prosty - w ramach grupy bezpieczeństwa - wszystkie porty są otwarte - dostęp zewnętrzny - zgodnie z twoją definicją - i w tym przypadku inna grupa w Amazon jest taka sama jak dostęp zewnętrzny.


źródło
-1

Odpowiedź brzmi: NIE - mam wiele kont EC2 i właśnie próbowałem zalogować się do jednej z moich instancji na koncie A z innej instancji na koncie B. Byłem w stanie połączyć SSH z B do A bez problemów (poza potrzebą SSH klucz do konta A).

Należy założyć, że każdy na twoim 10.0.0.0/8 może uzyskać dostęp do twoich instancji, bez względu na to, z jakiego konta EC2 korzysta.

gareth_bowles
źródło
3
Jakie uprawnienia bezpieczeństwa posiadałeś w instancji? Domyślnie nikt nie powinien mieć dostępu do twojej instancji, ale często w tutorialach zaleca się otwarcie tcp / 22 (SSH) na świat, abyś mógł uzyskać dostęp do komputera. Użyj ElasticFox lub „ec2-description-group”, aby sprawdzić uprawnienia dla grupy zabezpieczeń, w której uruchamiasz instancję („domyślny”?). Prawdopodobnie zobaczysz pełny dostęp dozwolony od członków tej samej grupy bezpieczeństwa i prawdopodobnie globalny dostęp SSH (który musisz dodać).
Dominic Cleal
Masz rację, włączyłem globalny dostęp do portu 22 - wydawało się to bezpieczne, ponieważ nadal potrzebujesz pary kluczy SSH, aby uzyskać dostęp do instancji.
gareth_bowles
Otwarcie go naraża na ataki - co oznacza, że ​​twój demon SSH musi słuchać nadchodzących żądań i może poddać się atakowi typu Denial of Service. Czasami można to złagodzić, dodając do hosta coś takiego jak fail2ban lub jakiś inny monitor, aby obserwować nieudane logowanie i włączyć reguły zapory instancji za pośrednictwem iptables / ipfw.
cgseller