La seguridad juega un papel importante en todos los sectores. Cuando un usuario utiliza cualquier servicio, su preocupación es que sus datos estén protegidos mientras comparte sus datos en ese servicio. Siempre existe la posibilidad de que se produzcan algunos ataques maliciosos o amenazas cuando el usuario está utilizando algunos servicios. Aunque Amazon es capaz de brindar una excelente seguridad a su servicio. Amazon sugirió usar SSH o RDP para mayor seguridad en instancias y servicios. Bastion Host es uno de los servicios proporcionados por AWS para evitar exponer innecesariamente los datos de los usuarios en Internet. El host bastión refuerza el acceso a los recursos, puertas de enlace, instancias, etc. Se accede a estos hosts con la ayuda de los protocolos SSH o RDP.
¿Qué es Bastión Host?
Un host Bastion es un servidor de propósito especial o una instancia que se usa para configurar para trabajar contra los ataques o amenazas. También se conoce como la «caja de salto» que actúa como un servidor proxy y permite que las máquinas cliente se conecten al servidor remoto. Es básicamente una puerta de enlace entre la subred privada e Internet. Permite al usuario conectarse a una red privada desde una red externa y actuar como proxy para otras instancias.
¿Por qué usar Bastion Host?
El escenario completo se puede explicar suponiendo que hay grupos de instancias en su red pública. La nube pública le permite crear una sección privada o aislada de la nube que el usuario puede usar para lanzar otros servicios que se conocen como VPC (red privada virtual). Entonces, el usuario quiere crear un medio o un canal de comunicación para su entorno inseguro de VPC. Así que hay muchos métodos a través de los cuales puedes hacer esto. La primera decisión que puede tomar es proporcionar una dirección IP externa. Puede asignar algunos servicios con una dirección IP externa para acceder a ellos a través de Internet. Pero es posible que algunos usuarios no quieran usar direcciones IP externas y deseen usar la herramienta SSH para obtener más seguridad para conectarse a la VPC. Entonces, si no le está proporcionando la dirección IP externa, la alternativa que queda es crear otra instancia en la red que se convierta en una puerta de enlace para la red privada a Internet. Actúa como un relé de confianza para las conexiones entrantes. Esta instancia se llama servicio Bastion.
¿Cómo funciona el host bastión?
Bastion Host básicamente proporciona un punto de entrada a las redes privadas que se conectarán a la red externa para protegerse de los ataques. Un host bastión tiene direcciones IP tanto internas como externas. Si los usuarios desean conectarse a la instancia interna sin usar direcciones IP externas, pueden conectarse a un host Bastion y luego conectarse a sus instancias internas desde ese host Bastion. Mientras usa el servicio Bastion, primero debe iniciar sesión en su host Bastion y luego dirigirse a las instancias privadas. El siguiente diagrama puede explicar cómo funciona realmente.
A continuación se describe la arquitectura del host Bastion. Si los usuarios tienen una infraestructura de AWS preexistente, resulta más fácil implementar el host de Bastion.
- Existe el requisito de una VPC configurada que tenga subredes públicas y privadas que proporcionen a los usuarios su propia red virtual en la infraestructura de AWS.
- Existe el requisito de una puerta de enlace que actúe como puente para el acceso a Internet. Permite que el host bastión reciba y envíe el tráfico de la red privada.
- Una arquitectura que puede abarcar hasta dos zonas de disponibilidad.
- Se necesita un clúster de instancias de escalado automático de Amazon EC2.
- Habrá un requisito de la cantidad de direcciones IP elásticas para que coincida con la cantidad de instancias de host bastión.
- Amazon Cloudwatch también será necesario para almacenar el historial de los registros de shell del host bastión.
- Los grupos de seguridad desempeñan un papel vital en el mantenimiento de la seguridad y consideran el factor de que el host bastión no falla en absoluto. Los grupos de seguridad se crean para permitir a los usuarios conectar el host bastión a las instancias privadas.
Mejores prácticas:
De forma predeterminada, el host bastión usa las claves privadas para la autenticación, por lo que los usuarios deben conservar la copia de las claves privadas, pero esto no se recomienda porque el host bastión está comprometido. Se recomienda encarecidamente utilizar el reenvío de agente SSH en lugar de utilizar la clave privada de la máquina de destino en el host bastión. Si los usuarios utilizan el mismo par de claves, también se recomienda utilizar el mismo par de claves para las instancias de bastión y de destino. La otra cosa que los usuarios deben considerar es el fortalecimiento de la seguridad del host bastión. Solo debe manejar los paquetes e instalaciones esenciales; de lo contrario, desinstale todos los demás paquetes no esenciales. Además, recuerde que los hosts de Bastion se implementan en la red pública.
Publicación traducida automáticamente
Artículo escrito por muskanj895 y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA