我目前有 20 个 Windows VM 在 Amazon EC2 上运行。公司中有许多人需要对每个设备进行临时 RDP 访问。有时我还会运行 Unix 实例,这些实例又往往会有大量用户的临时 SSH 访问。
所以现在我有一个问题...当这些盒子在我的数据中心内运行时,我可以完全控制它们。我可以具体实现这些控制:
禁用从特定子网到公共互联网的任何出站 Windows 或 Unix 流量,以阻止公司数据以某种方式流出我们的场所。
禁用来自人们家中的任何入站访问,因为我们不允许入站 SSH 或 RDP 进入我们的场所。
我曾想过通过启用 VPC (VPN) 连接来“私有化”我的 EC2。但我不喜欢这个解决方案,原因有很多,包括成本和与我们的特定网络设计有关的路由挑战。
还有其他方法可以实现我的目标吗?我绝对不想配置每台机器来“阻止”特定的流量行为或活动。这很麻烦。我曾经想到的一个办法是配置安全组,以某种方式使流量只流向“正确的方向”,但我不清楚如何做到这一点……?
答案1
好的,这是我现在第一次看到的一个老问题。
EC2 上跨多台服务器的“安全网络”或 VPN 的选项几乎只有:
- 正如您所说,亚马逊自己的“虚拟私有云”,又名从亚马逊数据中心到您自己的防火墙的 VPN 即服务。
- 第三方VPN“覆盖”网络,如VPN-Cubed,它与亚马逊合作,可作为按使用量付费的 EC2 机器映像使用。我自己没有用过这个,但从亚马逊的网络研讨会来看,它比 VPC 具有更多功能和更好的管理界面。
除了上述内容之外可以尝试在最终用户和基于 fx 的单个服务器之间建立临时 VPNOpenVPN。但在许多最终用户电脑上安装和配置客户端可能很快就会变得过时。
答案2
不幸的是,对于您正在研究的网络功能,VPC 是最佳选择。常规 EC2 实例没有出站过滤或 ACL。
使用 VPC 作为伪私有云,但没有专用硬件隧道。您可以设置 Internet 网关并设置一些公共机器,用于为私有子网中的其他服务器路由流量。VPC 不产生任何额外费用。这还将为您提供出站安全组规则和子网范围的 ACL。
我能想到的唯一其他选择是继续在虚拟机本身上实施网络规则。
答案3
另一个可以完成这项工作的商业工具是 Apani Epiforce,但它需要在每个服务器实例上进行一些手动设置,以及设置专用的策略服务器。
答案4
安全组。它允许您控制入站和出站连接。根据您的需要创建多个安全组,并可以将它们分配给多个 EC2 实例。例如,Web 服务器的 DMZ 安全组、应用服务器的应用安全组等。