Come creare un host di bastione in AWS

Come creare un host di bastione in AWS

Un host Bastion è un computer per uso speciale progettato per gestire gli attacchi ad alta larghezza di banda su Internet e fornisce l'accesso alla rete privata da una rete pubblica. L'uso di un host bastione è facile e sicuro e può essere impostato nell'ambiente AWS utilizzando le istanze EC2. Un host Bastion è impostato facilmente in AWS, ma una volta impostato, richiede patch, configurazioni e valutazione regolari.

In questo articolo, discuteremo di come creare un host di bastione in AWS utilizzando risorse AWS come VPC, sottoreti, gateway e istanze.

Creare un host di bastione in AWS

L'utente deve configurare alcune impostazioni di rete prima di creare istanze per l'host bastione. Cominciamo con il processo di configurazione dell'host di bastione in AWS da zero.

Passaggio 1: crea un nuovo VPC

Per creare un nuovo VPC nella console AWS VPC, fai semplicemente clic sul pulsante "Crea VPC":

Nelle impostazioni VPC, selezionare l'opzione "solo VPC" nelle risorse per creare. Dopodiché, nomina il VPC e digita “10.0.0/16 "come IPv4 CIDR:

Fai clic sul pulsante "Crea VPC":

Passaggio 2: Modifica le impostazioni VPC

Modifica le impostazioni VPC selezionando prima il VPC appena creato e quindi selezionando le "Modifica le impostazioni VPC" dal discesa del pulsante "Azioni":

Scorri verso il basso e seleziona "Abilita nomi host DNS", quindi fai clic sul pulsante "Salva":

Passaggio 3: crea una sottorete

Crea una sottorete associata al VPC selezionando l'opzione "Sottolinei" dal menu sul lato sinistro:

Seleziona VPC per collegare la sottorete al VPC:

Scorri verso il basso e aggiungi un nome e una zona di disponibilità per la sottorete. Tipo “10.0.0.1/24 "nello spazio del blocco CIDR IPv4 e quindi fare clic sul pulsante" Crea sottorete ":

Passaggio 4: modifica le impostazioni della sottorete

Ora che la sottorete è stata creata, selezionare la sottorete e fare clic sul pulsante "Azioni". Per il menu a discesa, selezionare le impostazioni "Modifica sottorete":

Abilita l'indirizzo IPv4 pubblico Assegna automatico e salva:

Passaggio 5: crea una nuova sottorete

Ora, crea una nuova sottorete selezionando il pulsante "Crea sottorete":

Associa la sottorete al VPC allo stesso modo di fare con la sottorete precedente:

Digita un nome diverso per questa sottorete e aggiungi “10.0.2.0/24 ”come blocco CIDR IPv4:

Fai clic sul pulsante "Crea sottorete":

Passaggio 6: crea un gateway Internet

Ora, crea un gateway Internet semplicemente selezionando l'opzione "Gateway Internet" dal menu sul lato sinistro e quindi facendo clic sul pulsante "Crea Gateway Internet":

Nomina il gateway. Successivamente, fai clic sul pulsante "Crea Gateway Internet":

Passaggio 7: collega il gateway a VPC

Ora è importante allegare il gateway Internet appena creato con il VPC che stiamo utilizzando nel processo. Quindi, selezionare il gateway Internet appena creato e quindi fare clic sul pulsante "Azioni" e dal menu a discesa del pulsante "Azioni", selezionare l'opzione "Allega a VPC":

Attacca il VPC e fai clic sul pulsante "Allega Internet Gateway":

Passaggio 8: modifica la configurazione della tabella per rotta

Visualizza l'elenco delle tabelle del percorso create per impostazione predefinita semplicemente facendo clic sull'opzione "Tabelle di rotta" dal menu sul lato sinistro. Selezionare la tabella di rotte associata al VPC utilizzato nel processo. Abbiamo chiamato VPC "MyDemovpc" e può essere differenziato dalle altre tabelle di percorso visualizzando la colonna di VPC:

Scorri verso il basso verso i dettagli della tabella di percorso selezionata e vai alla sezione "Percorsi". Da lì, fai clic sull'opzione "Modifica percorsi":

Fai clic su "Aggiungi percorsi":

Aggiungi “0.0.0.0/0 "come IP di destinazione e selezionare" Internet Gateway "dall'elenco visualizzato per" Target ":

Seleziona il gateway appena creato come target:

Fai clic su "Salva modifiche":

Passaggio 9: Modifica le associazioni di sottorete

Successivamente, vai alla sezione "Sottorete Associazioni" e fai clic sulle "Associazioni di sottorete Modifica":

Seleziona la sottorete pubblica. Abbiamo chiamato la sottorete pubblica "MyDemosubnet". Fai clic sul pulsante "Salva associazioni":

Passaggio 10: crea un gateway NAT

Ora, crea un gateway NAT. Per questo, selezionare le opzioni "Nat Gateways" dal menu e quindi fare clic sull'opzione "Crea Nat Gateway":

Dai un nome prima il gateway NAT e poi associare il VPC al gateway NAT. Impostare il tipo di connettività come pubblico e quindi fare clic su "Allocate Elastic IP":

Fai clic su "Crea Nat Gateway":

Passaggio 11: crea una nuova tabella di percorso

Ora, l'utente può anche aggiungere una tabella di rotta manualmente e, per farlo, l'utente deve fare clic sul pulsante "Crea route tabella":

Denominare la tabella del percorso. Successivamente, associare il VPC alla tabella del percorso e quindi fare clic sull'opzione "Crea la tabella per rotta":

Passaggio 12: modifica percorsi

Dopo aver creato la tabella del percorso, scorrere verso il basso fino alla sezione "Percorsi" e quindi fare clic su "Modifica percorsi":

Aggiungi un nuovo percorso nella tabella del percorso con il "target" definito come il gateway NAT creato nei passaggi precedenti:

Fai clic sulle opzioni "Modifica associazioni di sottorete":

Questa volta, selezionare la "sottorete privata" e quindi fare clic su "Salva associazioni":

Passaggio 13: crea un gruppo di sicurezza

È richiesto un gruppo di sicurezza per impostare e definire regole in legno e out-bound:

Crea un gruppo di sicurezza aggiungendo prima un nome per il gruppo di sicurezza, aggiungendo una descrizione e quindi selezionando il VPC:

Aggiungi "SSH" nel tipo per le nuove regole rilegate:

Passaggio 14: avviare una nuova istanza EC2

Fai clic sul pulsante "Avvia istanza" nella console di gestione EC2:

Nominare l'istanza e selezionare un AMI. Stiamo selezionando "Amazon Linux" come AMI per l'istanza EC2:

Configurare le "impostazioni di rete" aggiungendo la sottorete VPC e privata con IPv4 CIDR “10 10.0.2.0/24 ":

Seleziona il gruppo di sicurezza creato per l'host Bastion:

Passaggio 15: avviare una nuova istanza

Configurare le impostazioni di rete associando il VPC e quindi aggiungendo la sottorete pubblica in modo che l'utente possa utilizzare questa istanza per connettersi alla macchina locale:

In questo modo, entrambe le istanze EC2 vengono create. Uno ha la sottorete pubblica e l'altro ha la sottorete privata:

Passaggio 16: connettersi alla macchina locale

In questo modo, un host bastione viene creato in AWS. Ora, l'utente può collegare la macchina locale alle istanze tramite SSH o RDP:

Incolla il comando SSH copiato al terminale con la posizione del file di coppia di tasti privati ​​in formato "PEM":

In questo modo, l'host Bastion viene creato e utilizzato in AWS.

Conclusione

Un host bastione viene utilizzato per stabilire una connessione sicura tra le reti locali e pubbliche e per prevenire gli attacchi. È impostato in AWS utilizzando le istanze EC2, una associata alla sottorete privata e l'altra con la sottorete pubblica. L'istanza EC2 con la configurazione della sottorete pubblica viene quindi utilizzata per creare la connessione tra la rete locale e pubblica. Questo articolo ha spiegato bene come creare un host di bastione in AWS.