Sind private IP-Adressen von Amazon EC2 von jeder Instanz aus erreichbar, die in EC2 ausgeführt wird?

12

Nach dem Durchsuchen der vorherigen Fragen scheint der allgemeine Konsens darin zu bestehen, dass eine Instanz, die ich besitze, eine private IP von 10.208.34.55 zugewiesen bekommt und dass nur ANDERE INSTANZEN, die ich besitze, sie unter dieser Adresse erreichen können. Sehen:

Wie verschlüssele ich den Datenverkehr zwischen zwei Amazon EC2-Instanzen?

Ist das korrekt? So kann ich alle meine Instanzen so behandeln, als ob sie sich in einem LAN befinden, und jeden Computer von 10.XXX.XXX.XXX authentifizieren und ihm vertrauen, weil ich sicher bin, dass er mir gehört?

Ich möchte nur sicher sein. Ich stelle fest, dass amazon eher daran interessiert zu sein scheint, poetisch über The Cloud und ihre 3-stelligen Abkürzungen zu werden, als tatsächlich eine klare technische Dokumentation bereitzustellen.

networking security amazon-ec2 amazon-web-services Jberryman
quelle

Antworten:

12

Amazon EC2 bietet Sicherheitsgruppen, zu denen Ihre Instanz gehört. Auf diese Weise können Sie anderen Hostgruppen in Ihrem Konto oder anderen externen Hosts Berechtigungen erteilen. Einen kleinen Überblick finden Sie im [Benutzerhandbuch] [1] -> Konzepte -> Netzwerksicherheit.

Normalerweise haben Sie in der "Standard" - Sicherheitsgruppe vollen Zugriff auf andere Mitglieder der Gruppe (dh alle Ihren anderen Standard - Hosts) und ohne externe eingehenden Zugriff. Andere Hosts in EC2, die sich in anderen Konten oder in Ihrem Konto, jedoch nicht in der "Standardgruppe" befinden, können nicht auf Ihre Instanz zugreifen.

Sie können Regeln für eine Sicherheitsgruppe hinzufügen, um Zugriff auf andere Sicherheitsgruppen zu gewähren, oder Regeln hinzufügen, um Zugriff auf IP-Adressen / Bereiche zu gewähren.

Um Ihre Frage etwas direkter zu beantworten: Solange Ihre Sicherheitsgruppenregeln nur den Zugriff von derselben Gruppe zulassen, sollten Ihre Instanzen vor dem Zugriff durch andere Kunden geschützt werden, auch wenn diese denselben IP-Bereich gemeinsam nutzen.

[1]: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/ EC2 User Guide

Dominic Cleal
quelle
1

Gareth - Ich gehe davon aus, dass beide Gruppen den SSH-Port geöffnet haben. Eine erfolgreiche Übertragung von SSH von einem Konto zum anderen ist also kein Hinweis auf Ihre Schlussfolgerung. Die Idee ist einfach - innerhalb einer Sicherheitsgruppe - alle Ports sind offen - der Zugriff von außen - entspricht Ihrer Definition - und eine andere Gruppe in Amazon ist genauso wie der Zugriff von außen.


quelle
-1

Die Antwort ist ein klares NEIN - Ich habe mehrere EC2-Konten und habe gerade versucht, mich bei einer meiner Instanzen auf Konto A von einer anderen Instanz auf Konto B anzumelden Schlüssel für Konto A).

Sie sollten davon ausgehen, dass jeder auf Ihrem 10.0.0.0/8 auf Ihre Instanzen zugreifen kann, unabhängig davon, welches EC2-Konto er verwendet.

gareth_bowles
quelle
3
Welche Sicherheitsberechtigungen hatten Sie für die Instanz? Standardmäßig sollte niemand auf Ihre Instanz zugreifen können. In Tutorials wird jedoch häufig empfohlen, tcp / 22 (SSH) für die Welt zu öffnen, damit Sie auf den Computer zugreifen können. Verwenden Sie ElasticFox oder "ec2-describe-group", um die Berechtigungen für die Sicherheitsgruppe zu überprüfen, in der Sie die Instanz starten ("default"?). Möglicherweise sehen Sie den vollständigen Zugriff von Mitgliedern derselben Sicherheitsgruppe und möglicherweise den globalen SSH-Zugriff (den Sie hinzugefügt haben müssen).
Dominic Cleal
Sie haben Recht, ich habe den globalen Zugriff für Port 22 aktiviert - das schien sicher zu sein, da Sie immer noch das SSH-Schlüsselpaar benötigen, um auf die Instanzen zuzugreifen.
gareth_bowles
Wenn Sie es geöffnet haben, sind Sie Angriffen ausgesetzt. Dies bedeutet, dass Ihr SSH-Daemon die eingehenden Anforderungen abhören muss und sich für einen Denial-of-Service-Angriff eignet. Dies wird manchmal durch Hinzufügen von Fail2Ban oder einem anderen Monitor zum Host gelindert, um nach fehlgeschlagenen Anmeldungen zu suchen und die Regeln für die Instanz-Firewall über iptables / ipfw zu aktivieren.
Cgseller