Les adresses IP privées Amazon EC2 sont-elles accessibles à partir d'une instance exécutée dans EC2?

12

Après avoir recherché les questions précédentes ici, le consensus général semble être si une instance que je possède se voit attribuer une IP privée de 10.208.34.55, que seules D'AUTRES INSTANCES QUE JE POSSÈDE peut y accéder à cette adresse. Voir:

Comment chiffrer le trafic entre deux instances Amazon EC2?

Est-ce exact? Je peux donc traiter toutes mes instances comme si elles se trouvaient sur un réseau local et authentifier et faire confiance à n'importe quelle machine provenant de 10.XXX.XXX.XXX parce que je suis sûr de la posséder?

Je veux juste être sûr. Je trouve qu'Amazon semble être plus intéressé par la citation poétique du Cloud et de ses abréviations à 3 caractères que par la fourniture d'une documentation technique claire.

networking security amazon-ec2 amazon-web-services jberryman
la source

Réponses:

12

Amazon EC2 fournit des groupes de sécurité dont votre instance fait partie, puis cela vous permet d'accorder des autorisations à d'autres groupes d'hôtes sur votre compte ou à d'autres hôtes externes. Voir le [Guide de l'utilisateur] [1] -> Concepts -> Sécurité réseau pour un petit aperçu.

Normalement, dans le groupe de sécurité "par défaut", vous avez un accès complet aux autres membres du groupe (c'est-à-dire tous vos autres hôtes par défaut) et aucun accès entrant externe. Les autres hôtes à l'intérieur d'EC2 qui sont sur d'autres comptes ou sur votre compte mais pas dans le "groupe par défaut ne pourront pas accéder à votre instance.

Vous pouvez ajouter des règles pour un groupe de sécurité pour accorder l'accès à d'autres groupes de sécurité, ou ajouter des règles pour accorder l'accès aux adresses / plages IP.

Pour répondre un peu plus directement à votre question: tant que vos règles de groupe de sécurité n'autorisent l'accès qu'à partir du même groupe, vos instances doivent être protégées par un pare-feu contre tout autre client, même si elles partagent le même espace IP.

[1]: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/ EC2 Guide de l'utilisateur

Dominic Cleal
la source
1

Gareth - Je suppose que les deux groupes ont le port SSH ouvert, donc la réussite de SSH d'un compte à l'autre n'indique pas votre conclusion. L'idée est simple - au sein d'un groupe de sécurité - tous les ports sont ouverts - l'accès extérieur - est selon votre définition - et d'ailleurs, un autre groupe dans Amazon est exactement la même chose que l'accès externe.


la source
-1

La réponse est un NON retentissant - j'ai plusieurs comptes EC2, et j'ai juste essayé de me connecter à l'une de mes instances sur le compte A à partir d'une autre instance sur le compte B. clé pour le compte A).

Vous devez supposer que n'importe qui sur votre 10.0.0.0/8 peut accéder à vos instances, quel que soit le compte EC2 qu'ils utilisent.

gareth_bowles
la source
3
Quelles autorisations de sécurité aviez-vous sur l'instance? Personne ne devrait pouvoir accéder à votre instance par défaut, mais il est souvent recommandé dans les didacticiels d'ouvrir tcp / 22 (SSH) au monde afin que vous puissiez accéder à la machine. Utilisez ElasticFox ou "ec2-describe-group" pour vérifier les autorisations du groupe de sécurité dans lequel vous lancez l'instance ("par défaut"?). Vous verrez probablement un accès complet autorisé des membres du même groupe de sécurité et probablement un accès SSH global (que vous devez avoir ajouté).
Dominic Cleal
Vous avez raison, j'ai activé l'accès global pour le port 22 - cela semblait sécurisé car vous avez toujours besoin de la paire de clés SSH pour accéder aux instances.
gareth_bowles
Le faire ouvrir vous expose à des attaques, ce qui signifie que votre démon SSH doit écouter les demandes qui arrivent et qu'il pourrait se prêter à une attaque par déni de service. Ceci est parfois atténué en ajoutant quelque chose comme fail2ban ou un autre moniteur à l'hôte pour surveiller les connexions échouées et activer les règles de pare-feu d'instance via iptables / ipfw.
cgseller