Bastion Host trong VPC

Bastion Host trong VPC

Bastion Host (Máy chủ pháo đài) là một máy chủ có mục đích cung cấp quyền truy cập vào mạng riêng từ mạng bên ngoài, chẳng hạn như Interne. Ví dụ: bạn có thể sử dụng Bastion Host để giảm thiểu rủi ro cho phép kết nối SSH từ mạng bên ngoài vào Linux Instance được khởi chạy trong  VPC (Mạng riêng ảo) của bạn.
Clock Icon2020.07.10

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

2. Kiến trúc

Để đảm bảo an, toàn, chúng ta sẽ chạy Linux Instaces trong Private Subnet. Chú ý là Bastion Host phải được đặt ở Public Subnet.

Như trên hình mô tả. Khi một User muốn kết nối tới Linux Instances thì đều phải đi qua một bước trung gian đó là tới Bastion Host. Về mặt lý thuyết, các lớp bảo mật mà user phải đi qua còn nhiều hơn thế. Cụ thể lần lượt như sau:

  • Internet Gateway
  • Route Table
  • Network ACL
  • Security Group
  • Bastion Host
Như vậy có thể Bastion Host như một lớp bảo mật gia tăng của hệ thống AWS. Có thể nói thêm rằng bảo mật luôn là ưu tiên số 1 được AWS chú trọng. Nhờ vậy, chúng ta có thể yên tâm chạy các ứng dụng phần mềm của mình trên AWS Cloud.

3. Tạo Bastion Host

Bước 1: Đầu tiên chúng ta tạo một VPC như sau:

  • 1 Bastion Host ở Public Subnet
  • 1 Instance ở Private Subnet

Bước 2: Thiết lập Security Groups

Web Instance:

  • Type: SSH
  • Source: Private IPs của Bastion Instance

Bastion Instance:

  • Type: SSH
  • Source: My IP - tức Public IP của máy cá nhân hoặc công ty

Bước 3: Kiểm tra kết nối.

Sau khi thiết lập xong, Web Instance chỉ có thể được truy cập từ kết nối SSH thông qua Bastion Host. Ta có thể kiểm tra như sau:

  • Kêt nối SSH tới Bastion Host bằng Public IP của Bastion Host (Mình sử dụng Teraterm)

  • Tạo file key.pem bằng cách copy nội dung file Keypair đã download khi tạo Web Instance
    1. $vi key.pem
    2. Copy vào nội dung Keypair
    3. Ecs
    4. :wq
    5. Enter

  • Thay đổi quyền truy cập của file key.pem vừa tạo thành chỉ đọc

$chmod 400 key.pem

  • Truy cập vào Web Instance bằng Private IPs của Web Instance

$ssh -i key.pem ec2-user@172.16.2.253

Như vậy chúng ta truy cập vào Web Instance thành công!

4. Kết luận

Hy vọng bạn đã nắm được thế nào là Bastion Host cũng như cách thiết lập giúp gia tăng bảo mật cho mạng riêng của bạn.
Cảm ơn bạn đã ghé qua blog. Xin chào và hẹn gặp lại!
Tham khảo:

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.