Panoramica del laboratorio
I gruppi di sicurezza sono firewall virtuali collegati alle istanze Amazon Elastic Compute Cloud (Amazon EC2). Le regole del gruppo di sicurezza definiscono il traffico consentito all'interno o all'esterno di un'istanza. In questo laboratorio pratico, sei un controllore di sicurezza incaricato di configurare le regole di accesso per le istanze Amazon EC2. Devi assicurarti che in ogni istanza sia consentito solo il traffico autorizzato. Per eseguire questa attività , esamina il traffico da consentire e le regole del gruppo di sicurezza associate a un'istanza. Quindi, testa la connettività e correggi eventuali regole configurate in modo errato.
In questo laboratorio, un'istanza denominata AppServer, che funge da server applicativo, è stata avviata in una sottorete privata. Ciò significa che l'istanza non è accessibile direttamente da Internet. Per testare le regole del gruppo di sicurezza AppServer, devi prima connetterti a un'istanza Amazon EC2 intermediaria in una sottorete pubblica dello stesso cloud privato virtuale (VPC). L'istanza intermediaria è nota come bastion host (o jump server) e pertanto è denominata BastionHost. Dal BastionHost ti connetterai e testerai le regole del gruppo di sicurezza dell'istanza AppServer nella sottorete privata. L'implementazione di un modello bastion host/jump server è una configurazione di sicurezza di rete comune per l'amministrazione remota delle risorse di sottorete private.
C'è una seconda istanza di Amazon EC2 denominata PublicServer nella sottorete pubblica. Innanzitutto utilizzerai PublicServer per testare e assicurarti che il traffico SSH in AppServer sia consentito solo da BastionHost. Ciò riduce al minimo il rischio di operazioni SSH non autorizzate su AppServer. Successivamente, duplicherai la configurazione di sicurezza da BastionHost a PublicServer per creare un secondo bastion host per ridondanza.
Per semplicità , l'agente per il servizio AWS Systems Manager è stato installato su BastionHost e PublicServer. Ciò consente di utilizzare Systems Manager Session Manager per creare istantaneamente una sessione SSH per una di queste istanze utilizzando un URL preconfigurato nel browser. Verso la fine del laboratorio, approfondirai ulteriormente Session Manager come alternativa all'utilizzo di un bastion host tradizionale.
Session Manager è una funzionalità completamente gestita di AWS Systems Manager che consente di gestire istanze Amazon EC2, istanze on-premise e macchine virtuali (VM) tramite una shell interattiva one-clic basata su browser o mediante AWS Command Line Interface (AWS CLI). Session Manager aiuta a fornire una gestione delle istanze sicura e controllabile senza la necessità di aprire porte in ingresso, mantenere un bastion host o gestire chiavi SSH. Session Manager semplifica inoltre la conformità alle policy aziendali che richiedono un accesso controllato alle istanze, rigorose pratiche di sicurezza e log completamente controllabili con dettagli di accesso alle istanze, fornendo allo stesso tempo agli utenti finali un semplice accesso multipiattaforma alle istanze gestite con un solo clic.
Argomenti trattati
Dopo aver completato questo laboratorio, sarai in grado di:
- Esaminare i gruppi di sicurezza e determinare quale traffico è consentito.
- Cambiare i gruppi di sicurezza che devono essere applicati alle istanze di Amazon EC2.
- Aggiornare i gruppi di sicurezza per seguire il principio del privilegio minimo.
- Comprendere in che modo i gruppi di sicurezza possono fare riferimento ad altri gruppi di sicurezza.
- Comprendere come utilizzare Session Manager per connettersi alle istanze.
Prerequisiti
Per questo laboratorio è necessario:
- L'accesso a un notebook con Wi-Fi e Microsoft Windows, macOS o Linux (Ubuntu, SuSE o Red Hat)
Nota L'ambiente di laboratorio non è accessibile utilizzando un iPad o un tablet, ma è possibile utilizzare tali dispositivi per accedere alla guida per gli studenti.
- Per gli utenti di Microsoft Windows, è necessario l'accesso al computer come amministratore
- Un browser Internet come Chrome, Firefox o Internet Explorer 9 (non sono supportate versioni precedenti di Internet Explorer)
- Facoltativo: uso di un client SSH come PuTTY
Durata
Questo laboratorio pratico richiede circa 45 minuti per essere completato.
Servizi AWS non utilizzati in questo laboratorio
I servizi AWS non utilizzati in questo laboratorio sono disabilitati nell'ambiente di laboratorio. Inoltre, le funzionalità dei servizi abilitati saranno limitate a quanto necessario per il laboratorio pratico. Pertanto, se proverai ad accedere ad altri servizi o a eseguire operazioni al di fuori di quelle richieste dal laboratorio, riceverai messaggi di errore.