实验概览
安全组是一种与 Amazon Elastic Compute Cloud (Amazon EC2) 实例关联的虚拟防火墙。安全组规则规定了哪些流量可以传入或传出实例。在本实验中,您是一名安全监控人员,负责为 Amazon EC2 实例配置访问规则。您必须确保只允许获得授权的流量传入每个实例。要完成这一任务,您需要确定应该允许哪些流量进入,还需要检查与实例关联的安全组规则。然后,您需要测试连接状况并更正所有配置错误的规则。
在本实验中,一个名为 AppServer 的实例充当应用程序服务器,且已在私有子网中启动。这意味着该实例无法直接从互联网访问。要测试 AppServer 安全组规则,您首先要连接到中间 Amazon EC2 实例,其位于相同 Virtual Private Cloud (VPC) 的公有子网中。该中间实例是一种堡垒主机(或跳转服务器),因此命名为 BastionHost。通过 BastionHost 连接,您将连接到私有子网中的 AppServer 实例并测试其安全组规则。堡垒主机/跳转服务器是远程管理私有子网资源的一种常见网络安全配置。
在公有子网中还有另一个名为 PublicServer 的 Amazon EC2 实例。您将首先使用 PublicServer 来测试并确保只允许 SSH 流量从 BastionHost 进入 AppServer。这可以最大程度地降低在 AppServer 上执行未授权 SSH 操作的风险。稍后,您将把安全配置从 BastionHost 复制到 PublicServer,创建第二个堡垒主机以实现冗余。
为简便起见,AWS Systems Manager 服务的代理现已安装在 BastionHost 和 PublicServer 上。这样,您就可以通过 Systems Manager Session Manager 在浏览器中使用预配置 URL 立即创建连接到其中任一实例的 SSH 会话。在本实验的结尾,您将进一步了解如何将 Session Manager 用作传统堡垒主机的替代方案。
Session Manager 是一项完全托管的 AWS Systems Manager 功能,借助该功能,您可以通过基于浏览器的交互式一键 Shell 或 AWS Command Line Interface (AWS CLI) 来管理 Amazon EC2 实例、本地部署的实例和虚拟机 (VM)。Session Manager 可以提供安全、可审计的实例管理,无需打开入站端口、维护堡垒主机或管理 SSH 密钥。另外,Session Manager 可以帮助您轻松遵守具有以下要求的企业策略:实例访问控制、严格安全实践以及附有实例访问详细信息的完整可审计日志,同时仍能为终端用户提供对托管实例的简单一键式跨平台访问。
涵盖的主题
完成本实验内容后,您将能够:
- 检查安全组并确定允许哪些流量传入。
- 更改要应用到 Amazon EC2 实例的安全组。
- 更新安全组以遵循最低权限原则。
- 了解安全组如何引用其他安全组。
- 了解如何利用 Session Manager 来连接实例。
先决条件
要完成本实验,您需要:
- 配有运行 Microsoft Windows、macOS 或 Linux(Ubuntu、SuSE 或 Red Hat)且可以连接 Wi-Fi 的笔记本电脑
注意:使用 iPad 或平板设备无法访问本实验环境,但是您可以使用这些设备来访问学员指南。
- 对于 Microsoft Windows 用户:需要拥有计算机管理员权限
- 互联网浏览器,例如 Chrome、Firefox 或 Internet Explorer 9(不支持旧版本 Internet Explorer)
- 可选:SSH 客户端,例如 PuTTY
持续时间
完成本实验大约需要 45 分钟。
本实验中未使用的 AWS 服务
本实验中未使用的 AWS 服务已在实验环境中禁用。此外,本实验中所用服务的功能仅限于本实验所需。如果访问其他服务或执行本实验指南中未规定的操作,可能会出现错误。
