استخدم AWS SSM Session Manager لتحقيق تسجيل الدخول الآمن إلى EC2 بدون IP للشبكة العامة وبدون مفتاح
في تشغيل الخادم السحابي التقليدي ، لتسجيل الدخول إلى Linux EC2 ، يكون التكوين القياسي عادةً: ربط الخادم بـ IP عام (أو عبر بوابة NAT) ، والسماح له في مجموعة الأمان
TCP:22
المنفذ ، ثم قم بتكوين مفتاح SSH محليًا (
. Pem
ملف) ، وأخيراً متصل من خلال المحطة.
ومع ذلك ، فإن هذه المجموعة من العمليات القياسية ، التي تعمل منذ أكثر من عشر سنوات ، تواجه تحديات كبيرة في ظل مواصفات السلامة الحديثة على مستوى المؤسسة:
مخاطر الخطوط العارية للشبكة العامة: طالما تم فتح 22 منفذًا ، سواء قمت بتغيير المنفذ الافتراضي أم لا ، سيكون هناك الآلاف من نصوص القرصنة التي يتم مسحها بشكل محموم وتفكيكها بعنف كل يوم.
كارثة إدارة المفاتيح: بمجرد توزيع ملف المفتاح على العديد من التطوير أو التشغيل والصيانة ، من السهل جدًا حدوث حوادث أمنية كبيرة حيث لا يتم تدمير الموظف عندما يغادر الموظف ، ويتم إرسال المفتاح عن طريق الخطأ إلى GitHub العامة.
التكلفة العالية: من أجل عدم تزويد الخادم بعنوان IP العام ، يتعين على العديد من الفرق إنفاق الأموال لبناء Jumpbox أو تكوين نفق VPN معقد ، مما يزيد من ميزانيتها اليومية.
في نظام AWS ، هناك طريقة لعب متقدمة مجانية يمكن تسميتها بضربة خفض الأبعاد ، والتي يمكن أن تزيل جميع نقاط الألم المذكورة أعلاه تمامًا.
AWS Systems Manager Session Manager (مدير الجلسة)
.
اليوم لا تتحدث عن نظريات أمنية معقدة. يأخذك الممسك إلى العملية الكاملة ، وتحقيق
لا يحتاج الخادم إلى عنوان IP للشبكة العامة ، ولا يحتاج فريق الأمان إلى فتح أي منافذ ، ولا يحتاج إلى أي شيء محليًا. ملف مفتاح البيم
، يمكنك تسجيل الدخول بثبات إلى محطة EC2.
المرحلة الأولى: التفكيك العميق ، تقنية سوداء "الاتصال العكسي" لـ Session Manager
لماذا لا تحتاج إلى منفذ IP و 22 للشبكة العامة ، ولا يزال بإمكاننا الاتصال بالخادم عن بُعد ؟
تسجيل الدخول SSH التقليدي هو
اتصال إيجابي
: كعميل ، يمر جهاز الكمبيوتر الخاص بك عبر الشبكة العامة ويطرق باب المنفذ 22 لخادم EC2. وهذا يتطلب أن يكون للخادم مدخل إلى الشبكة العامة ويجب أن يكون الباب مفتوحًا.
يستخدم Session Manager
الاتصال العكسي
المنطق:
داخل خادم EC2 الخاص بك ، يتم تثبيت عملية حراسة رسمية صغيرة تسمى SSM Agent.
لا تتطلب هذه العملية حركة مرور خارجية. ستأخذ زمام المبادرة من الداخل إلى الخارج (Outbound) لإنشاء اتصال طويل الأمد آمن ثنائي الاتجاه مع خادم SSM الرسمي لـ AWS من خلال HTTPS (منفذ 443).
عندما تقوم بتسجيل الدخول إلى وحدة تحكم AWS أو ترغب في الاتصال بالخادم من خلال AWS CLI المحلي ، يتم إرسال طلبك أولاً إلى خادم AWS SSM ، ثم يقوم الخادم بتمرير التعليمات إلى EC2 داخل القناة الداخلية التي تم إنشاؤها بالفعل.
استنتاج الأمان الأساسي: نظرًا لأن حركة المرور يتم إرسالها جميعًا من الداخل إلى الخارج ، يمكن إكمال قواعد دخول مجموعة أمان EC2 الخاصة بك
أفرغ بالكامل (أغلق جميع المنافذ داخل المحطة تمامًا) ، حتى المتسلل لا يمكنه العثور على وجود الخادم الخاص بك مع الكاشف ، والأمان ممتلئ مباشرة.
المرحلة الثانية: التمرين القتالي الفعلي 1-منح EC2 الحق في التحدث (تكوين دور IAM)
EC2 لأخذ زمام المبادرة للوصول إلى خادم SSM الخاص بـ AWS ، يجب أن تحصل على إذن منك. في AWS ، يتم استدعاء البطاقة الوحيدة لترخيص الموارد
IAM Role (دور إدارة الهوية والوصول)
.
قم بتسجيل الدخول إلى وحدة التحكم AWS ، وابحث وادخل إلى خدمة IAM.
انقر على القائمة الموجودة على اليسار "Roles"-> "Create role".
يختار نوع الواقع المؤتمن "خدمات AWS" ، وتختار الخدمة أو حالة الاستخدام EC2. انقر على التالي.
إضافة سياسة الأذونات (النقاط الرئيسية): أدخل AmazonSSMManagedInstanceCore في مربع البحث (هذه هي استراتيجية الأذونات الأساسية المصغرة التي تم تخصيصها رسميًا من قبل AWS لـ Session Manager) ، ضع علامة عليها.
انقر على التالي ، وامنح الشخصية اسمًا ، مثل EC2-SSM-Access-Role ، وانقر على إنشاء.
المرحلة الثالثة: التمرين القتالي الفعلي 2-بدء EC2 الخاص "المغلق بالكامل"
بعد وضع الأساس ، سنقوم الآن بسحب خادم لإجراء اختبار حقيقي.
أدخل وحدة التحكم EC2 وانقر على "مثيلات بدء التشغيل".
مرآة النظام (AMI): يوصى بشدة باختيار أحدث Amazon Linux 2023 أو Amazon Linux 2. تذكير تجنب الحفرة: تم تثبيت هذين النظامين افتراضيًا وتم تفعيل SSM Agent تلقائيًا ، ولا تحتاج إلى النقر على الأمر يدويًا لتثبيته. إذا اخترت Ubuntu أو CentOS الأصلي ، فأنت بحاجة إلى تثبيت برنامج SSM Agent يدويًا باستخدام apt أو yum بعد بدء التشغيل.
نوع المثال: اختر مستوى مجاني من t3.micro.
Key pair: حدد "المتابعة بدون زوج مفتاح" مباشرة في القائمة المنسدلة (تجربة تسجيل الدخول بدون مفتاح).
إعدادات الشبكة (التكلفة والاكتوارية للأمان): التخصيص التلقائي لعنوان IP العام: حدد "تعطيل". نحن لا نحتاج إلى عنوان IP العام. قاعدة دخول المجموعة الآمنة: انقر فوق قاعدة "السماح بمنفذ SSH 22" الافتراضية لحذف سلة المهملات. الحفاظ على قواعد الدخول فارغة.
تفاصيل متقدمة (حقن الروح): اقلب لأسفل وابحث عن "ملف تعريف مثيل IAM". في القائمة المنسدلة ، حدد بدقة EC2-SSM-Access-Role التي أنشأنا في المرحلة الثانية.
انقر على مثيلات بدء التشغيل.
المرحلة الرابعة: لحظة مشاهدة المعجزة-ثلاث طرق تسجيل عالية الطاقة
بدء تشغيل الخادم 2 ~ بعد 3 دقائق ، تأكد من SSM Agen في الطابق الأرضي
تم ربط t بنجاح بالسحابة. دعونا نلقي نظرة على كيفية الدخول إلى النظام.
الطريقة الأولى: مفتاح واحد لوحدة التحكم مباشرة (مفضل كسول)
في قائمة مثيلات EC2 ، حدد الخادم الذي قمت ببناؤه للتو بدون شبكة عامة ولا منفذ.
في الجزء العلوي ، انقر على "Connect".
قم بالتبديل إلى علامة التبويب "Session Manager" (ستجد أنه نظرًا للتكوين الصحيح ، فقد تم تشغيل زر "الاتصال" الرمادي الأصلي).
انقر على "اتصال". سيظهر المتصفح على الفور محطة محلية سوداء نقية. أنت بالفعل أذونات ssm-user. قم بتنفيذ sudo su مباشرة إلى التحكم المثالي في القرص.
الطريقة الثانية: الاتصال المباشر بالمحطة المحلية (تشغيل احترافي وصيانتها)
لا يحب العديد من عمليات التشغيل والصيانة المخضرمة استخدام المتصفح لكتابة التعليمات البرمجية ، وقد اعتادوا على المحطات المحلية (مثل Mac Terminal أو iTerm2 أو Windows PowerShell). لا توجد مشكلة ، Session Manager مدعوم بنفس القدر.
تأكد من تثبيت أداة AWS CLI على الكمبيوتر المحلي الخاص بك وتكوين مفتاح الوصول إلى IAM الشخصي الخاص بك من خلال configure aws.
يحتاج الكمبيوتر المحلي إلى تثبيت مكون إضافي مجاني يسمى Session Manager Plugin (انتقل إلى موقع AWS الرسمي لتنزيل حزمة التثبيت لنظام التشغيل المقابل ، خطوة واحدة بدون تثبيت).
افتح المحطة الطرفية المحلية الخاصة بك واكتب هذا السطر مباشرة (استبدل معرف المثيل الخاص بك):Bashaws ssm start-session-target i-0123456789abcdef0 بدون أي تلميح رئيسي ، لا تحتاج إلى إدخال كلمة مرور. بعد ثانية واحدة ، تعبر المحطة المحلية مباشرة الكون ، تم توصيله بالخادم السحابي بدون عنوان IP العام.
المرحلة الخامسة: التدقيق المتقدم على مستوى المؤسسة-من فعل ماذا في الخادم الخاص بي ؟
إذا كنت تعتقد أن Session Manager هو فقط لإنقاذ المتاعب ، فأنت تقلل من شأن مواصفات مصنع AWS. السبب الأساسي وراء تفضيلها حقًا من قبل الشركات ذات المتطلبات العالية للامتثال مثل التمويل والأوراق المالية هو أنها تجلب نفسها
خط التجميع المثالي للتدقيق الخالي من الزوايا
.
تسجيل الدخول التقليدي إلى SSH ، ما هي الملفات التي قام المطورون بحذفها وما هي التكوين الذي تم تغييره. ما لم تقم بتخزين السجلات بشكل كبير داخل النظام ، فمن الصعب تتبعها.
في إعدادات AWS Systems Manager ، يمكنك تكوين تشغيل سجل الجلسة مباشرة:
التسليم إلى دلو تخزين S3: سيتم تسجيل كل سطر من الأوامر التي يقرعها المستخدم في الجهاز ، وكل حرف مطبوع على الشاشة (بما في ذلك التراجع والإبلاغ عن الأخطاء) في الوقت الفعلي كملف نصي مشفر وتحميله إلى S3.
التسليم إلى CloudWatch Logs: تنفيذ إنذار السجل في الوقت الحقيقي.
حتى لو تم تنفيذ عملية وصلاحية ذات أعلى سلطة في الخادم
ص
م-rf
، لم يستطع حذف الدليل الحديدي الذي طار إلى برميل التدقيق S3. من يقوم بالعملية ومتى يفعل ذلك ، سيعرف عند التحقق من ذلك ويلبي متطلبات تدقيق الامتثال الأكثر صرامة.
المرحلة السادسة: تاريخ الدم والدموع لتجنب الحفر والصيانة اليومية
يطالب الاتصال "المثيل غير مسجل أو غير متصل بالإنترنت": بعد سحب الخادم الجديد ، إذا وجدت أن زر اتصال وحدة التحكم رمادي ، فإن 99 ٪ يرجع إلى أن الشبكة الفرعية الخاصة بك (Subnet الخاص) غير متصلة تمامًا. على الرغم من أن طلب SSM Agent يتم إرساله من الداخل والخارج ، إذا لم تقم الشبكة الفرعية الخاصة بك بتكوين بوابة NAT ولا تحتوي على نقاط VPC (عقدة طرفية) ، فإن الوكيل لا يمكنه حتى إرسال حركة مرور HTTPS لاسم نطاق AWS الرسمي ، وسوف تفقد الاتصال تمامًا. تأكد من أن الشبكة الخاصة يمكنها توصيل اسم مجال الشبكة العامة على الأقل لخدمة AWS ، أو إنشاء ثلاث عقد طرفية جديدة لـ VPC ، ssm و ssmmessages و ec2messages في VPC.
بطاقة الأذونات ميتة جدًا بحيث لا يمكن للفريق التعاون: لم يعد مدير الجلسة يتعرف عليها. ملف البيم ، الذي يعترف بحقوق مستخدم AWS IAM الشخصية. إذا كنت ترغب في السماح للمطور الجديد Xiao Zhang بتسجيل الدخول إلى هذا الجهاز ، فأنت بحاجة إلى إضافة استراتيجية إلى حسابه الشخصي في IAM تسمح بتنفيذ ssm:StartSession على مثيلات EC2. إن استخدام IAM لاستبدال توزيع المفاتيح المادية تمامًا هو الطريقة الصحيحة للسحابة الحديثة.
الخلاصة
استخدم AWS SSM Session Manager لتسجيل الدخول إلى EC2 ، بشكل أساسي
مصادقة الهوية الحديثة (IAM) تحل محل مصادقة الشبكة القديمة (22 منفذًا مقابل المفاتيح المادية)
. إن الاستفادة الجيدة من هذه التكنولوجيا السوداء المجانية لن تساعدك فقط على قطع آلات الحصن غير الضرورية وميزانيات IP الخاصة بالشبكة العامة ، ولكن أيضًا ستجعل البنية التحتية السحابية الخاصة بك "غير مرئية على الفور" على الشبكة العامة. تتمتع كل من السلامة والراحة ، وهذا هو الوضع القياسي الأنيق والأصيل في السحابة.
