¿Se puede acceder a las IP privadas de Amazon EC2 desde cualquier instancia que se ejecute en EC2?

12

Después de buscar aquí preguntas anteriores, el consenso general parece ser que si una instancia de mi propiedad tiene asignada una IP privada de 10.208.34.55, que solo OTRAS INSTANCIAS QUE PROPIO pueden alcanzar en esa dirección. Ver:

¿Cómo cifrar el tráfico entre dos instancias de Amazon EC2?

¿Es eso correcto? Entonces, ¿puedo tratar todas mis instancias como si estuvieran en una LAN y autenticar y confiar en cualquier máquina que provenga de 10.XXX.XXX.XXX porque estoy seguro de que la tengo?

Solo quiero estar seguro. Me parece que Amazon parece estar más interesado en hablar poéticamente sobre The Cloud y sus abreviaturas de 3 caracteres que en proporcionar documentación técnica clara.

networking security amazon-ec2 amazon-web-services jberryman
fuente

Respuestas:

12

Amazon EC2 proporciona grupos de seguridad de los que forma parte su instancia, luego esto le permite otorgar permisos a otros grupos de hosts en su cuenta u otros hosts externos. Consulte la [Guía del usuario] [1] -> Conceptos -> Seguridad de red para obtener una breve descripción general.

Normalmente en el grupo de seguridad "predeterminado" tiene acceso completo a otros miembros del grupo (es decir, todos sus otros hosts predeterminados) y no tiene acceso entrante externo. Otros hosts dentro de EC2 que están en otras cuentas, o en su cuenta pero no en el "grupo predeterminado" no podrán acceder a su instancia.

Puede agregar reglas para que un grupo de seguridad otorgue acceso a otros grupos de seguridad, o agregar reglas para otorgar acceso a direcciones IP / rangos.

Para responder a su pregunta un poco más directamente: siempre y cuando las reglas de su grupo de seguridad solo permitan el acceso desde el mismo grupo, sus instancias deberían ser protegidas por el acceso de cualquier otro cliente, aunque compartan el mismo espacio IP.

[1]: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/ Guía del usuario de EC2

Dominic Cleal
fuente
1

Gareth: supongo que ambos grupos tienen el puerto SSH abierto, por lo que el éxito de SSH de una cuenta a otra no indica su conclusión. La idea es simple: dentro de un grupo de seguridad, todos los puertos están abiertos, el acceso externo es según su definición, y para el caso, otro grupo en Amazon es igual que el acceso externo.


fuente
-1

La respuesta es un rotundo NO: tengo varias cuentas EC2 y acabo de intentar iniciar sesión en una de mis instancias en la cuenta A desde otra instancia en la cuenta B. Pude SSH de B a A sin problemas (aparte de necesitar el SSH clave para la cuenta A).

Debe suponer que cualquier persona en su 10.0.0.0/8 puede acceder a sus instancias, independientemente de la cuenta EC2 que estén utilizando.

gareth_bowles
fuente
3
¿Qué permisos de seguridad tenía en la instancia? Nadie debería poder acceder a su instancia de forma predeterminada, pero a menudo se recomienda en los tutoriales abrir tcp / 22 (SSH) al mundo para que pueda acceder a la máquina. Use ElasticFox o "ec2-describe-group" para verificar los permisos para el grupo de seguridad en el que está iniciando la instancia (¿"predeterminado"?). Probablemente verá el acceso completo permitido de los miembros del mismo grupo de seguridad y probablemente el acceso global SSH (que debe haber agregado).
Dominic Cleal
Tiene razón, habilité el acceso global para el puerto 22, que parecía seguro ya que todavía necesita el par de claves SSH para acceder a las instancias.
gareth_bowles
Tenerlo abierto lo hace sujeto a ataques, lo que significa que su demonio SSH tiene que escuchar las solicitudes que llegan y podría prestarse a un ataque de Denegación de Servicio. Esto a veces se mitiga agregando algo como fail2ban o algún otro monitor al host para observar los inicios de sesión fallidos y activar las reglas de firewall de instancia a través de iptables / ipfw.
cgseller