Présentation de l'atelier
Les groupes de sécurité sont des pare-feu virtuels attachés aux instances Amazon Elastic Compute Cloud (Amazon EC2). Les règles de groupe de sécurité définissent le trafic autorisé en entrée ou en sortie d'une instance. Dans cet atelier, vous êtes un contrôleur de sécurité chargé de configurer les règles d'accès pour les instances Amazon EC2. Vous devez vous assurer que seul le trafic autorisé a accès à chaque instance. Pour accomplir cette tâche, vérifiez quel trafic doit être autorisé et inspectez les règles du groupe de sécurité attachées à une instance. Ensuite, testez la connectivité et corrigez les règles mal configurées.
Dans cet atelier, une instance nommée AppServer, qui fait office de serveur d'applications, a été lancée dans un sous-réseau privé. Cela signifie que l'instance n'est pas accessible directement à partir d'Internet. Pour tester les règles du groupe de sécurité AppServer, vous devez d'abord vous connecter à une instance Amazon EC2 intermédiaire dans un sous-réseau public du même cloud privé virtuel (VPC). L'instance intermédiaire est connue sous le nom d'hôte bastion (ou serveur Jump) et est donc nommée BastionHost. À partir de la connexion BastionHost, vous vous connecterez et testerez les règles du groupe de sécurité de l'instance AppServer dans le sous-réseau privé. L'implémentation d'un modèle hôte bastion/serveur Jump est une configuration de sécurité du réseau courante pour administrer à distance les ressources de sous-réseau privées.
Il existe une deuxième instance Amazon EC2 nommée PublicServer dans le sous-réseau public. Vous allez d'abord utiliser PublicServer pour tester et vous assurer que le trafic SSH n'est autorisé dans AppServer qu'à partir de BastionHost. Cela réduit le risque d'opérations SSH non autorisées sur AppServer. Plus tard, vous dupliquerez la configuration de sécurité de BastionHost vers PublicServer pour créer un deuxième hôte bastion à des fins de redondance.
Par souci de simplicité, l'agent du service AWS Systems Manager a été installé sur BastionHost et PublicServer. Cela vous permet d'utiliser Session Manager de Systems Manager pour créer instantanément une session SSH vers l'une de ces instances depuis votre navigateur à l'aide d'une URL préconfigurée. Vers la fin de l'atelier, vous étudierez plus en détail Session Manager comme alternative à l'utilisation d'un hôte bastion traditionnel.
Session Manager est une fonctionnalité AWS Systems Manager entièrement gérée qui vous permet de gérer vos instances Amazon EC2, vos instances sur site et vos machines virtuelles (VM) via un shell interactif en un clic basé sur un navigateur ou via AWS Command Line Interface (AWS CLI). Session Manager fournit une gestion d'instances sécurisée et vérifiable sans avoir besoin d'ouvrir des ports entrants, de maintenir des hôtes bastion et de gérer des clés SSH. Session Manager facilite également la conformité avec les politiques d'entreprise qui requièrent un accès contrôlé aux instances, des pratiques de sécurité strictes et des journaux entièrement vérifiables avec les détails d'accès aux instances, tout en fournissant aux utilisateurs finaux un accès cross-plateform simple et en un clic à vos instances gérées.
Thèmes abordés
À la fin de cet atelier, vous serez en mesure d'effectuer les opérations suivantes :
- Examiner les groupes de sécurité et déterminer quel trafic est autorisé.
- Modifier les groupes de sécurité appliqués aux instances Amazon EC2.
- Mettre à jour les groupes de sécurité pour qu'ils respectent le principe du moindre privilège.
- Comprendre comment les groupes de sécurité peuvent référencer d'autres groupes de sécurité.
- Comprendre comment utiliser Session Manager pour se connecter aux instances.
Prérequis
Cet atelier nécessite :
- Un accès à un ordinateur portable doté d'une connexion Wi-Fi et exécutant Microsoft Windows, macOS ou Linux (Ubuntu, SuSE ou Red Hat)
Remarque L'environnement de l'atelier n'est pas accessible depuis un iPad ou une tablette, mais vous pouvez utiliser ces types de dispositifs pour accéder au guide de l'étudiant
- Pour les utilisateurs Microsoft Windows : accès administrateur à l'ordinateur
- Un navigateur Internet tel que Chrome, Firefox ou Internet Explorer 9 (les versions précédentes d'Internet Explorer ne sont pas prises en charge)
- Facultatif : un client SSH, comme PuTTY
Durée
Il faut environ45 minutes pour terminer cet atelier.
Services AWS non utilisés dans cet atelier
Les services AWS qui ne sont pas utilisés dans cet atelier sont désactivés dans l'environnement de l'atelier. En outre, les capacités des services utilisés dans cet atelier sont limitées à ce qui est requis pour l'atelier. Des erreurs surviendront en cas d'actions ou d'accès à des services autres que ceux qui sont nécessaires dans ce guide de l'atelier.