Apakah Amazon EC2 Private IP dapat dicapai dari instance apa pun yang berjalan di EC2?

12

Setelah mencari pertanyaan sebelumnya di sini, konsensus umum tampaknya adalah jika sebuah instance yang saya miliki diberikan IP pribadi 10.208.34.55, yang hanya INSTAN LAINNYA SAYA SENDIRI dapat mencapainya di alamat itu. Lihat:

Bagaimana cara mengenkripsi traffic antara dua instance Amazon EC2?

Apakah itu benar? Jadi saya bisa memperlakukan semua instance saya seolah-olah mereka berada di LAN dan mengotentikasi serta mempercayai mesin apa pun yang berasal dari 10.XXX.XXX.XXX karena saya yakin saya memilikinya?

Saya hanya ingin memastikan. Saya menemukan bahwa amazon agaknya lebih tertarik pada waxing puitis tentang The Cloud dan singkatan 3-karakter mereka daripada menyediakan dokumentasi teknis yang jelas.

networking security amazon-ec2 amazon-web-services jberryman
sumber

Jawaban:

12

Amazon EC2 menyediakan grup keamanan yang mana instance Anda merupakan bagian dari, maka ini memungkinkan Anda untuk memberikan izin kepada grup host lain di akun Anda atau host eksternal lainnya. Lihat [Panduan Pengguna] [1] -> Konsep -> Keamanan jaringan untuk tinjauan singkat.

Biasanya di "default" kelompok keamanan Anda memiliki akses penuh kepada anggota lain dalam kelompok (yaitu semua Anda host bawaan lainnya) dan tidak ada akses masuk eksternal. Host lain di dalam EC2 yang ada di akun lain, atau di akun Anda tetapi tidak di "grup default tidak akan dapat mengakses instance Anda.

Anda dapat menambahkan aturan untuk grup keamanan untuk memberikan akses ke grup keamanan lain, atau menambahkan aturan untuk memberikan akses ke alamat / rentang IP.

Untuk menjawab pertanyaan Anda sedikit lebih langsung: selama aturan grup keamanan Anda hanya mengizinkan akses dari grup yang sama, maka instance Anda harus diblokir dari akses oleh pelanggan lain, walaupun mereka berbagi ruang IP yang sama.

[1]: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/ Panduan Pengguna EC2

Dominic Cleal
sumber
1

Gareth - Saya berasumsi kedua kelompok memiliki port SSH terbuka, sehingga SSH yang berhasil dari satu akun ke yang lain tidak menunjukkan kesimpulan Anda. Idenya sederhana - di dalam grup keamanan - semua port terbuka - akses luar - sesuai definisi Anda - dan dalam hal ini, grup lain di Amazon sama dengan akses eksternal.


sumber
-1

Jawabannya adalah TIDAK - saya memiliki beberapa akun EC2, dan baru saja mencoba masuk ke salah satu contoh saya di akun A dari contoh lain di akun B. Saya dapat SSH dari B ke A tanpa masalah (selain membutuhkan SSH kunci untuk akun A).

Anda harus berasumsi bahwa siapa pun di 10.0.0.0/8 Anda dapat mengakses instances Anda, terlepas dari akun EC2 apa yang mereka gunakan.

gareth_bowles
sumber
3
Izin keamanan apa yang Anda miliki pada instance? Tidak ada yang bisa mengakses instance Anda secara default, tetapi sering disarankan dalam tutorial untuk membuka tcp / 22 (SSH) ke dunia agar Anda dapat mengakses mesin. Gunakan ElasticFox atau "ec2-description-group" untuk memeriksa izin grup keamanan tempat Anda meluncurkan instance ("default"?). Anda mungkin akan melihat akses penuh diizinkan dari anggota grup keamanan yang sama dan mungkin akses SSH global (yang harus Anda tambahkan).
Dominic Cleal
Anda benar, saya memang mengaktifkan akses global untuk port 22 - yang tampaknya aman karena Anda masih memerlukan keypair SSH untuk mengakses instance.
gareth_bowles
Membukanya terbuka membuat Anda menjadi sasaran serangan - artinya daemon SSH Anda harus mendengarkan permintaan yang masuk dan itu bisa menyebabkan serangan Denial of Service. Ini kadang-kadang dikurangi dengan menambahkan sesuatu seperti fail2ban atau monitor lain ke host untuk mengawasi kegagalan login dan mengaktifkan aturan firewall contoh melalui iptables / ipfw.
cgseller