Чи доступні приватні IP-адреси Amazon EC2 в будь-якому екземплярі, який працює в EC2?

12

Після пошуку попередніх запитань тут, загальний консенсус, здається, якщо екземпляру, якому я володію, присвоєно приватний IP 10,208,34,55, що лише ІНШІ ІНСТАНЦІЇ, Я ВЛАСНИЙ, можуть отримати його за цією адресою. Побачити:

Як зашифрувати трафік між двома екземплярами Amazon EC2?

Це правильно? Тож я можу ставитись до всіх моїх примірників так, ніби вони перебувають у локальній мережі, і автентифікувати та довіряти будь-якій машині, що надходить з 10.XXX.XXX.XXX, тому що я впевнений, що я ним володію?

Я просто хочу бути впевненим. Я вважаю, що амазонку, здається, більше цікавить воскова поетика про Хмару та їх 3-символьні абревіатури, ніж фактичне надання чіткої технічної документації.

— жубер
джерело

12

Amazon EC2 надає групи безпеки, до яких належить ваш екземпляр, то це дозволяє надати дозволи іншим групам хостів у вашому акаунті чи іншим зовнішнім хостам. Для короткого огляду див. [Посібник користувача] [1] -> Концепції -> Безпека мережі.

Як правило , в групі безпеки « по умовчанням» у вас є повний доступ до інших членів в групі (тобто все з ваших інших хостів по замовчуванням) і без зовнішнього вхідного доступу. Інші хости в EC2, які знаходяться в інших облікових записах або у вашому акаунті, але не входять до групи "за замовчуванням, не зможуть отримати доступ до вашого примірника.

Ви можете додати правила для групи безпеки, щоб надати доступ до інших груп безпеки, або додати правила для надання доступу до IP-адрес / діапазонів.

Щоб відповісти на ваше запитання трохи пряміше: якщо правила вашої групи безпеки дозволяють отримати доступ лише з тієї самої групи, тоді ваші екземпляри повинні бути закритими з доступу будь-якого іншого клієнта, навіть якщо вони мають однаковий простір IP.

[1]: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/ Посібник користувача EC2

— Домінік Кліал
джерело

1

Гарет - Я припускаю, що обидві групи мають відкритий порт SSH, тому успішний SSH з одного акаунта в інший не вказує на ваш висновок. Ідея проста - всередині групи безпеки - усі порти відкриті - зовнішній доступ - залежить від вашого визначення - і, з цього приводу, інша група в Amazon точно така ж, як і зовнішній доступ.

-1

Відповідь є надзвичайним НІ - у мене є кілька облікових записів EC2, і я просто спробував увійти в один із моїх примірників в обліковому записі А з іншого екземпляра в акаунті B. Мені вдалося SSH з B до A без проблем (крім необхідності SSH ключ для рахунку А).

Ви повинні припустити, що будь-хто у вашій 10.0.0.0/8 може отримати доступ до ваших примірників, незалежно від того, який обліковий запис EC2 вони використовують.

— gareth_bowles
джерело

3

Які дозволи на захист були у вас в екземплярі? Ніхто не повинен мати доступ до вашого примірника за замовчуванням, але це часто рекомендується в навчальних посібниках відкривати tcp / 22 (SSH) у світі, щоб ви могли отримати доступ до машини. Використовуйте ElasticFox або "ec2-описуючу групу", щоб перевірити дозволи для групи безпеки, в якій запускаєте екземпляр ("за замовчуванням"?). Напевно, ви побачите повний доступ, дозволений від членів тієї самої групи безпеки та, можливо, глобальний доступ до SSH (який ви повинні додати).

— Домінік Кліл

Ви маєте рацію, я ввімкнув глобальний доступ до порту 22 - це здавалося безпечним, оскільки вам все ще потрібна SSH-ключ, щоб отримати доступ до примірників.

— gareth_bowles

Якщо його відкрити, ви піддаєтеся атакам - це означає, що ваш демон SSH повинен слухати запити, що надходять, і він може піддатися нападу відмови в службі. Іноді це пом'якшується, додаючи в хост щось на кшталт fail2ban або якийсь інший монітор, щоб спостерігати за помилками входу та вмикати правила брандмауера, наприклад, через iptables / ipfw.

— cgseller