Доступны ли частные IP-адреса Amazon EC2 из любого экземпляра, работающего в EC2?

12

После поиска предыдущих вопросов здесь, по-видимому, общее согласие заключается в том, что если моему экземпляру назначен частный IP-адрес 10.208.34.55, то только ДРУГИЕ МОМЕНТЫ, которые Я СОБСТВЕННЫЙ, могут достичь его по этому адресу. Видеть:

Как зашифровать трафик между двумя экземплярами Amazon EC2?

Это верно? Таким образом, я могу обращаться со всеми своими экземплярами так, как если бы они находились в локальной сети, а также аутентифицировать и доверять любой машине с 10.XXX.XXX.XXX, потому что я уверен, что она принадлежит мне?

Я просто хочу быть уверен. Я обнаружил, что amazon, похоже, скорее заинтересован в нарастании поэтических рассуждений об The Cloud и их трехсимвольных аббревиатурах, чем в фактическом предоставлении четкой технической документации.

— jberryman
источник

12

Amazon EC2 предоставляет группы безопасности, частью которых является ваш экземпляр, тогда это позволяет вам предоставлять разрешения другим группам узлов вашей учетной записи или другим внешним узлам. См. [Руководство пользователя] [1] -> Основные понятия -> Сетевая безопасность для небольшого обзора.

Обычно в группе безопасности «по умолчанию» у вас есть полный доступ к другим членам группы (т. Е. Ко всем другим вашим хостам по умолчанию) и нет внешнего входящего доступа. Другие хосты внутри EC2, которые находятся на других учетных записях или на вашей учетной записи, но не в группе «по умолчанию», не смогут получить доступ к вашему экземпляру.

Вы можете добавить правила для группы безопасности для предоставления доступа другим группам безопасности или добавить правила для предоставления доступа к IP-адресам / диапазонам.

Чтобы ответить на ваш вопрос немного более прямо: поскольку правила вашей группы безопасности разрешают доступ только из той же группы, ваши экземпляры должны быть защищены от доступа любым другим клиентом, даже если они совместно используют одно и то же пространство IP.

[1]: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/ EC2. Руководство пользователя.

— Доминик Клил
источник

1

Гарет - я предполагаю, что обе группы имеют открытый порт SSH, поэтому успешный SSH от одной учетной записи к другой не указывает на ваше заключение. Идея проста - внутри группы безопасности - все порты открыты - внешний доступ - по вашему определению - и в этом отношении другая группа в Amazon точно такая же, как внешний доступ.

-1

Ответ - НЕТ - у меня есть несколько учетных записей EC2, и я только что попытался войти в один из моих экземпляров на счете A из другого экземпляра на счете B. Я смог без проблем перейти по SSH из B в A (кроме необходимости использования SSH). ключ для учетной записи A).

Вы должны предположить, что кто-либо из ваших 10.0.0.0/8 может получить доступ к вашим экземплярам, независимо от того, какую учетную запись EC2 они используют.

— gareth_bowles
источник

3

Какие разрешения безопасности у вас были на этом экземпляре? Никто не должен иметь доступ к вашему экземпляру по умолчанию, но в учебниках часто рекомендуется открыть tcp / 22 (SSH) для всего мира, чтобы вы могли получить доступ к машине. Используйте ElasticFox или «ec2-description-group», чтобы проверить разрешения для группы безопасности, в которой вы запускаете экземпляр («по умолчанию»?). Вероятно, вы увидите полный доступ, разрешенный членами той же группы безопасности, и, вероятно, глобальный доступ по SSH (который вы, должно быть, добавили).

— Доминик Клил

Вы правы, я включил глобальный доступ для порта 22 - это казалось безопасным, поскольку вам все еще нужна пара ключей SSH для доступа к экземплярам.

— gareth_bowles

Если он открыт, вы подвергаетесь атакам - это означает, что ваш демон SSH должен прослушивать поступающие запросы и может быть готов к атаке типа «отказ в обслуживании». Это иногда смягчается добавлением чего-то вроде fail2ban или какого-либо другого монитора к хосту для наблюдения за неудачными входами в систему и включения правил межсетевого экрана экземпляра через iptables / ipfw.

— cgseller