實驗室概觀
安全群組是連接到 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的虛擬防火牆。安全群組規則負責定義允許進出執行個體的流量。在此實驗室中,您是安全監控人員,負責為 Amazon EC2 執行個體設定存取規則。您必須確保只允許獲得授權的流量進入每個執行個體。為了完成此任務,請檢閱應允許的各項流量,並檢查連接到執行個體的安全群組規則。然後測試連線能力,並更正任何設定錯誤的規則。
在此實驗室中,名為 AppServer 的執行個體將做為應用程式伺服器,並已啟動進入私有子網路。這表示執行個體無法直接從網際網路存取。若要測試 AppServer 安全群組規則,您將先連接到相同 Virtual Private Cloud (VPC) 公有子網路中的中繼 Amazon EC2 執行個體。中繼執行個體稱為堡壘主機 (或跳板伺服器),因此被命名為 BastionHost。從 BastionHost 連線,您將連接到在私有子網路中 AppServer 執行個體的安全群組規則並進行測試。實作堡壘主機/跳板伺服器模型是常見的網路安全組態,以遠端管理私有子網路資源。
在公有子網路中有第二個名為 PublicServer 的 Amazon EC2 執行個體。您將先使用 PublicServer 來測試並確保只允許 SSH 流量從 BastionHost 進入 AppServer。這會將 AppServer 上未經授權的 SSH 操作風險降到最低。稍後,您會將安全組態從 BastionHost 複製到 PublicServer,以建立第二個堡壘主機以供備援。
為了簡單起見,AWS Systems Manager 服務的代理程式已安裝在 BastionHost 和 PublicServer 上。這可讓您使用 Systems Manager Session Manager,使用在瀏覽器中預先設定的 URL,立即在這些執行個體中的任一個建立 SSH 工作階段。在此實驗室結束時,您將會調查更多關於 Session Manager 的相關資訊,做為使用傳統堡壘主機的替代方案。
Session Manager 是全受管的 AWS Systems Manager 功能,可讓您透過可互動的一鍵式瀏覽器型 Shell 或透過 AWS Command Line Interface (AWS CLI),來管理 Amazon EC2 執行個體、內部部署執行個體和虛擬機器 (VM)。Session Manager 提供安全且可稽核的執行個體管理功能,無需開啟傳入連接埠、維護堡壘主機或管理 SSH 金鑰。Session Manager 還可讓您輕鬆遵守公司政策 (其中需要控制執行個體存取權、嚴格安全實務,以及具有執行個體存取詳細資訊的完全可稽核日誌),同時仍可讓終端使用者以簡單的一鍵式跨平台存取受管執行個體。
涵蓋的主題
完成此實驗室之後,您將能夠:
- 檢查安全群組並決定允許哪些流量。
- 變更要套用到 Amazon EC2 執行個體的安全群組。
- 更新安全群組以遵循最低權限原則。
- 了解安全群組如何參考其他安全群組。
- 了解如何利用 Session Manager 連接到執行個體。
先決條件
此實驗室的基本需求:
- 存取執行 Microsoft Windows、macOS X 或 Linux (Ubuntu、SuSE 或 Red Hat) 且配備 Wi-Fi 的筆記型電腦
注意:使用 iPad 或平板電腦裝置無法存取此實驗室環境,但您可以使用這些裝置存取學生指南。
- 針對 Microsoft Windows 使用者:需要有此電腦的管理員存取權
- 網際網路瀏覽器,例如 Chrome、Firefox 或 Internet Explorer 9 (不支援舊版 Internet Explorer)
- 選擇性:SSH 用戶端,例如 PuTTY
授課時長
此實驗室需要大約 45 分鐘的時間來完成。
此實驗室未使用的 AWS 服務
實驗室環境會停用此實驗室未使用的 AWS 服務。此外,此實驗室可使用的服務功能僅限於實驗室所需的功能。存取其他服務或執行此實驗室指南以外的動作時,將會發生錯誤。
