Die AWS-Sicherheitsregeln für eingehende Verbindungen meines Unternehmens sind so eingestellt, dass IPs aus Unternehmensnetzwerken per SSH auf AWS-Ressourcen zugreifen können. Ich möchte jedoch von zu Hause aus arbeiten und per SSH auf AWS EC2-Instanzen zugreifen können (und mich auch bei RDS-Instanzen anmelden).
Eine Möglichkeit besteht natürlich darin, die IP-Adresse meines WLANs zu den eingehenden Regeln der AWS-Sicherheitsgruppe der Instanz hinzuzufügen, auf die ich per SSH zugreifen möchte. Meinem Manager gefällt das jedoch aus irgendeinem Grund nicht. (Ich frage mich, warum das so ist.)
Die andere Möglichkeit besteht darin, über VPN eine Verbindung zum Netzwerk meines Unternehmens herzustellen. Ich verstehe danach nicht, wie ich eine Verbindung zu AWS EC2 oder AWS RDS herstellen kann. Bitte helfen Sie.
Antwort1
Es gibt hier ein paar bewegliche Teile, also bleiben Sie dran.
Home -> Arbeits-VPN -> Arbeit -> VPN zu AWS -> AWS
Nehmen wir an, jeder hat die folgenden Werte:
Home PC on VPN: 192.168.10.2
Work VPN Network: 192.168.10.0
Work Network : 172.16.0.0
VPN to AWS Network: 10.0.2.0
AWS VPC (All EC2 Instances are assigned): 10.0.3.0
Der Administrator muss eine Regel festlegen, die SSH-Verkehr von WORK VPN NETWORKund nach VPN to AWS NETWORKder Firewall des Arbeitsnetzwerks zulässt, und dann das WORK VPNSubnetz als eingehende Regel auf dem VPC in AWS zulassen. Die Konfiguration kann bei jedem anders sein, aber dies ist die einfachste Möglichkeit, das zu tun, was Sie möchten, und die Konfiguration ist ähnlich wie diese. Mit dieser Reihe von Aktionen kann jeder, der eine Verbindung zum VPN herstellt, auf alle EC2-Hosts auf dem VPC zugreifen.
Antwort2
Wenn ich das richtig verstehe, haben Sie ein VPN zu Ihrem Arbeitsnetzwerk eingerichtet. Das VPN sollte Ihnen eine externe IP-Adresse Ihres Arbeitsnetzwerks geben, die Ihnen automatisch SSH in AWS-Instanzen und RDS ermöglichen sollte, als wären Sie im Büro. Sie können Ihre externe IP überprüfen, indem Sie zuhttps://www.whatismyip.com/was-ist-meine-öffentliche-IP-Adresse/oder ähnliche Websites.
Warum Ihr Manager Ihre private IP-Adresse nicht zur AWS-Sicherheitsgruppe hinzufügen möchte, können Sie am besten ihn/sie fragen. Ich wette, es hängt damit zusammen, dass private/private IPs dynamisch sind (sie können sich ohne Vorankündigung ändern) und dass dadurch Mehraufwand entsteht. Wenn er/sie Ihre IP hinzufügt, möchten mehr Leute, die von zu Hause aus arbeiten, dasselbe. All dies muss verwaltet und geändert/entfernt werden, wenn sich die Situation ändert (z. B. wenn Sie das Unternehmen verlassen). Abgesehen davon steht Ihr Heimnetzwerk nicht unter der Kontrolle des Unternehmens. Dies kann Sicherheitsrisiken mit sich bringen, da das Unternehmen nicht weiß, wer darauf Zugriff hat.
Antwort3
Abhängig von der VPN-Konfiguration Ihres Unternehmens:
- Wenn Split-Tunneling in Ihrem VPN deaktiviert ist, müssen Sie nichts tun. Sobald Sie mit dem VPN Ihres Unternehmens verbunden sind, sollten Sie per SSH auf Ihre Instanz zugreifen können.
- Wenn Spli-Tunneling aktiviert ist, muss Ihr Administrator den Datenverkehr über das VPN Ihres Unternehmens an die jeweilige Instanz (ihre öffentliche oder private IP-Adresse) weiterleiten, sodass Ihre Routing-Tabelle (auf Ihrem Laptop) bei jeder Verbindung mit dem VPN eine Route zu Ihrer Instanz hat, die den Datenverkehr durch den VPN-Tunnel sendet.
Auf diese Weise erhält die der Instanz zugewiesene Sicherheitsgruppe Ihren Datenverkehr als aus dem Netzwerk/den IPs Ihres Unternehmens stammend