📜  什么是AWS Bastion主机?

📅  最后修改于: 2021-04-16 08:43:10             🧑  作者: Mango

安全在所有部门都起着重要作用。当用户使用任何服务时,其关注的是在共享该服务中的数据时应保护其数据。用户使用某些服务时,总是有可能发生某些恶意攻击或威胁。尽管亚马逊能够为其服务提供出色的安全性。亚马逊建议使用SSH或RDP为实例和服务提供更高的安全性。 Bastion Host是AWS提供的服务之一,以避免不必要地在互联网上公开用户的数据。堡垒主机加强了对资源,网关,实例等的访问。借助SSH或RDP协议可以访问这些主机。

什么是堡垒主机?

堡垒主机是专用服务器或实例,用于配置为抵御攻击或威胁。它也被称为“跳箱”,其作用类似于代理服务器,并允许客户端计算机连接到远程服务器。它基本上是专用子网和Internet之间的网关。它允许用户从外部网络连接专用网络并充当其他实例的代理。

为什么要使用堡垒主机?

可以假设您的公共网络中存在实例集群,以此来解释完整的场景。公共云使您可以创建云的某些私有或隔离部分,用户可以使用它们来启动其他服务,这些服务称为VPC(虚拟专用网络)。因此,用户希望为您的VPC不安全环境创建媒介或通信渠道。因此,您可以通过多种方法来执行此操作。您可能要使用的第一个决定是提供一个外部IP地址。您可以为某些服务分配一个外部IP地址,以通过Internet进行访问。但是某些用户可能不想使用外部IP地址,而希望使用SSH工具来提高安全性以连接到VPC。因此,现在,如果您不为它提供外部IP地址,那么备用方案就是在网络上创建另一个实例,该实例成为Internet专用网络的网关。它充当入站连接的可信中继。此实例称为堡垒服务。

堡垒主机如何工作?

堡垒主机基本上提供了一个进入专用网络的入口,该专用网络将连接到外部网络,以防止受到攻击。堡垒主机同时具有内部和外部IP地址。如果用户要在不使用外部IP地址的情况下连接内部实例,则它可以连接到Bastion主机,然后从该Bastion主机连接到您的内部实例。使用Bastion服务时,您必须先登录到Bastion主机,然后再定向到私有实例。下图可以说明其实际工作方式。

以下内容描述了堡垒主机的体系结构。如果用户具有预先存在的AWS基础架构,则部署Bastion主机将变得更加容易。

  • 要求配置VPC时,它既要有公共子网又要有私有子网,它们可以在AWS基础设施上为用户提供自己的虚拟网络。
  • 需要网关充当互联网访问的桥梁。它允许堡垒主机接收和发送专用网络的流量。
  • 可以跨越两个可用区的体系结构。
  • 需要一个Amazon EC2自动扩展实例集群。
  • 要求弹性IP地址的数量与堡垒主机实例的数量相匹配。
  • 为了存储堡垒主机外壳日志的历史记录,还需要Amazon Cloudwatch。
  • 安全组在维护安全性方面起着至关重要的作用,并考虑了堡垒主机完全不会发生故障的因素。创建安全组是为了允许用户将堡垒主机连接到私有实例。

最佳做法:

默认情况下,堡垒主机使用私钥进行身份验证,因此用户必须保留私钥的副本,但是不建议这样做,因为堡垒主机受到了威胁。强烈建议使用SSH代理转发,而不要使用堡垒主机上目标计算机的私钥。如果用户使用相同的密钥对,则还建议对堡垒实例和目标实例使用相同的密钥对。用户应注意加强堡垒主机安全性的另一件事。它仅应处理必需的软件包和安装,否则应卸载所有其他不必要的软件包。另外,请记住,堡垒主机已部署在公共网络中。