Доступны ли частные IP-адреса Amazon EC2 из любого экземпляра, работающего в EC2?

12

После поиска предыдущих вопросов здесь, по-видимому, общее согласие заключается в том, что если моему экземпляру назначен частный IP-адрес 10.208.34.55, то только ДРУГИЕ МОМЕНТЫ, которые Я СОБСТВЕННЫЙ, могут достичь его по этому адресу. Видеть:

Как зашифровать трафик между двумя экземплярами Amazon EC2?

Это верно? Таким образом, я могу обращаться со всеми своими экземплярами так, как если бы они находились в локальной сети, а также аутентифицировать и доверять любой машине с 10.XXX.XXX.XXX, потому что я уверен, что она принадлежит мне?

Я просто хочу быть уверен. Я обнаружил, что amazon, похоже, скорее заинтересован в нарастании поэтических рассуждений об The Cloud и их трехсимвольных аббревиатурах, чем в фактическом предоставлении четкой технической документации.

jberryman
источник

Ответы:

12

Amazon EC2 предоставляет группы безопасности, частью которых является ваш экземпляр, тогда это позволяет вам предоставлять разрешения другим группам узлов вашей учетной записи или другим внешним узлам. См. [Руководство пользователя] [1] -> Основные понятия -> Сетевая безопасность для небольшого обзора.

Обычно в группе безопасности «по умолчанию» у вас есть полный доступ к другим членам группы (т. Е. Ко всем другим вашим хостам по умолчанию) и нет внешнего входящего доступа. Другие хосты внутри EC2, которые находятся на других учетных записях или на вашей учетной записи, но не в группе «по умолчанию», не смогут получить доступ к вашему экземпляру.

Вы можете добавить правила для группы безопасности для предоставления доступа другим группам безопасности или добавить правила для предоставления доступа к IP-адресам / диапазонам.

Чтобы ответить на ваш вопрос немного более прямо: поскольку правила вашей группы безопасности разрешают доступ только из той же группы, ваши экземпляры должны быть защищены от доступа любым другим клиентом, даже если они совместно используют одно и то же пространство IP.

[1]: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/ EC2. Руководство пользователя.

Доминик Клил
источник
1

Гарет - я предполагаю, что обе группы имеют открытый порт SSH, поэтому успешный SSH от одной учетной записи к другой не указывает на ваше заключение. Идея проста - внутри группы безопасности - все порты открыты - внешний доступ - по вашему определению - и в этом отношении другая группа в Amazon точно такая же, как внешний доступ.


источник
-1

Ответ - НЕТ - у меня есть несколько учетных записей EC2, и я только что попытался войти в один из моих экземпляров на счете A из другого экземпляра на счете B. Я смог без проблем перейти по SSH из B в A (кроме необходимости использования SSH). ключ для учетной записи A).

Вы должны предположить, что кто-либо из ваших 10.0.0.0/8 может получить доступ к вашим экземплярам, ​​независимо от того, какую учетную запись EC2 они используют.

gareth_bowles
источник
3
Какие разрешения безопасности у вас были на этом экземпляре? Никто не должен иметь доступ к вашему экземпляру по умолчанию, но в учебниках часто рекомендуется открыть tcp / 22 (SSH) для всего мира, чтобы вы могли получить доступ к машине. Используйте ElasticFox или «ec2-description-group», чтобы проверить разрешения для группы безопасности, в которой вы запускаете экземпляр («по умолчанию»?). Вероятно, вы увидите полный доступ, разрешенный членами той же группы безопасности, и, вероятно, глобальный доступ по SSH (который вы, должно быть, добавили).
Доминик Клил
Вы правы, я включил глобальный доступ для порта 22 - это казалось безопасным, поскольку вам все еще нужна пара ключей SSH для доступа к экземплярам.
gareth_bowles
Если он открыт, вы подвергаетесь атакам - это означает, что ваш демон SSH должен прослушивать поступающие запросы и может быть готов к атаке типа «отказ в обслуживании». Это иногда смягчается добавлением чего-то вроде fail2ban или какого-либо другого монитора к хосту для наблюдения за неудачными входами в систему и включения правил межсетевого экрана экземпляра через iptables / ipfw.
cgseller