В настоящее время у меня есть 20 виртуальных машин Windows, работающих на Amazon EC2. В компании МНОГО людей, которым необходим специальный доступ по протоколу RDP к каждому из этих устройств. Время от времени я также запускаю экземпляры Unix, которые снова имеют тенденцию иметь много специального доступа по SSH от большого количества пользователей.
Итак, теперь у меня проблема ... Когда эти блоки работают в моем центре обработки данных, я могу полностью их контролировать. Я могу специально реализовать эти элементы управления:
Отключите любой исходящий трафик Windows или Unix из определенной подсети в общедоступный Интернет, чтобы данные компании каким-либо образом не выходили из наших помещений.
Отключите любой входящий доступ из домов людей, поскольку мы не разрешаем входящий SSH или RDP в наши помещения.
Я подумал о том, чтобы просто «приватизировать» свой EC2, включив подключение VPC (VPN). Но мне не нравится это решение по многим причинам, которые включают в себя как стоимость, так и проблемы маршрутизации, связанные с нашим конкретным дизайном сети.
Есть ли другой способ достичь моих целей? Я определенно не хочу настраивать каждую машину на «блокировку» определенного поведения или активности трафика. Это боль. Одна мысль, которая у меня была, заключалась в том, чтобы настроить группы безопасности, чтобы каким-то образом поток трафика шел только в «правильном направлении», но я не понимаю, как это будет сделано ...?
Хорошо, это старый вопрос, который я впервые вижу.
Варианты для "защищенных сетей" или VPN, охватывающих несколько серверов на EC2, в основном ограничиваются:
Помимо вышесказанного, вы мог попробуйте adhoc VPN между конечными пользователями и отдельными серверами на основе FX OpenVPN. Но установка и настройка клиента на многих ПК конечных пользователей может быстро устареть.
К сожалению, для сетевых функций, которые вы ищете, VPC - лучший вариант. Обычные экземпляры EC2 не имеют исходящей фильтрации или списков контроля доступа.
Используйте VPC как псевдо-частное облако, но без выделенного аппаратного туннеля. Вы можете настроить Интернет-шлюзы и настроить несколько общедоступных машин, которые маршрутизируют трафик для других серверов, находящихся в частной подсети. VPC не требует дополнительных затрат. Это также даст вам исходящие правила группы безопасности и списки ACL для всей подсети.
Единственная другая альтернатива, о которой я могу думать, - это продолжать реализовывать сетевые правила на самих виртуальных машинах.
Группы безопасности. Это позволяет вам контролировать как входящие, так и исходящие соединения. Создайте несколько групп безопасности в соответствии с вашими потребностями, и вы можете назначить их нескольким экземплярам EC2. Например, группа безопасности DMZ для веб-серверов, группы безопасности приложений для серверов приложений и т. Д.
Другой коммерческий инструмент, который выполнит эту работу, - это Apani Epiforce, но он потребует некоторой ручной настройки на каждом экземпляре сервера, а также настройки выделенного сервера политик.