Os IPs privados do Amazon EC2 são acessíveis a partir de qualquer instância em execução no EC2?

12

Depois de pesquisar aqui as perguntas anteriores, parece que o consenso geral é se uma instância que eu possuo recebe um IP privado de 10.208.34.55, que somente OUTRAS INSTÂNCIAS POSSUIDAS PODEM alcançá-lo nesse endereço. Vejo:

Como criptografar o tráfego entre duas instâncias do Amazon EC2?

Isso está correto? Para que eu possa tratar todas as minhas instâncias como se elas estivessem em uma LAN e autenticar e confiar em qualquer máquina proveniente de 10.XXX.XXX.XXX, porque tenho certeza de que sou a minha proprietária?

Eu só quero ter certeza. Estou descobrindo que a Amazon parece estar mais interessada em se aprofundar na poética sobre The Cloud e suas abreviações de três caracteres do que fornecer documentação técnica clara.

networking security amazon-ec2 amazon-web-services jberryman
fonte

Respostas:

12

O Amazon EC2 fornece grupos de segurança dos quais sua instância faz parte, permitindo conceder permissões a outros grupos de hosts em sua conta ou outros hosts externos. Consulte o [Guia do usuário] [1] -> Conceitos -> Segurança de rede para obter uma pequena visão geral.

Normalmente no grupo de segurança "default" você tem acesso total a outros membros do grupo (ou seja, todos os seus outros hosts padrão) e não há acesso de entrada externa. Outros hosts dentro do EC2 que estão em outras contas ou na sua conta, mas não no grupo "padrão, não poderão acessar sua instância.

Você pode adicionar regras para um grupo de segurança para conceder acesso a outros grupos de segurança ou adicionar regras para conceder acesso a endereços / intervalos de IP.

Para responder à sua pergunta um pouco mais diretamente: contanto que as regras do seu grupo de segurança permitam apenas o acesso do mesmo grupo, suas instâncias deverão ser protegidas por firewall pelo acesso de qualquer outro cliente, mesmo que compartilhem o mesmo espaço IP.

[1]: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/ Guia do usuário do EC2

Dominic Cleal
fonte
1

Gareth - Presumo que ambos os grupos tenham a porta SSH aberta, portanto, o SSH bem-sucedido de uma conta para outra não indica sua conclusão. A idéia é simples - dentro de um grupo de segurança - todas as portas são abertas - acesso externo - é de acordo com sua definição - e, nesse caso, outro grupo na Amazon é igual ao acesso externo.


fonte
-1

A resposta é um retumbante NÃO - eu tenho várias contas EC2 e tentei entrar em uma das minhas instâncias na conta A de outra instância na conta B. Consegui fazer o SSH de B a A sem problemas (além de precisar do SSH chave para a conta A).

Você deve supor que qualquer pessoa no 10.0.0.0/8 possa acessar suas instâncias, independentemente da conta do EC2 que estiver usando.

gareth_bowles
fonte
3
Quais permissões de segurança você tinha na instância? Ninguém deve poder acessar sua instância por padrão, mas é frequentemente recomendado nos tutoriais abrir o TCP / 22 (SSH) para o mundo para que você possa acessar a máquina. Use ElasticFox ou "ec2-description-group" para verificar as permissões do grupo de segurança em que você está iniciando a instância ("padrão"?). Você provavelmente verá o acesso total permitido por membros do mesmo grupo de segurança e provavelmente o acesso SSH global (que você deve ter adicionado).
Dominic Cleal 15/10/2009
Você está certo, habilitei o acesso global à porta 22 - que parecia segura, pois você ainda precisa do par de chaves SSH para acessar as instâncias.
Gareth_bowles 15/10/09
Ao abri-lo, você estará sujeito a ataques - o que significa que seu daemon SSH precisa ouvir as solicitações recebidas e pode se prestar a um ataque de negação de serviço. Às vezes, isso é atenuado pela adição de algo como fail2ban ou outro monitor ao host, para verificar logins com falha e ativar as regras de firewall da instância via iptables / ipfw.
cgseller