我目前有20个在Amazon EC2上运行的Windows虚拟机。 公司里有很多人需要特别的RDP访问这些盒子的每一个。 偶尔我也运行Unix实例,这些实例往往会从大量的用户那里获得大量的临时SSH访问权限。
所以现在我有一个问题…当这些箱子运行在我的数据中心,我可以完全控制它们。 我可以具体实施这些控制:
禁止从特定子网到公网的任何出站Windows或Unixstream量,以阻止公司数据以某种方式stream出我们的场所。
禁止来自家中的任何入站访问,因为我们不允许入站SSH或RDP到我们的场所。
我想通过启用VPC(VPN)连接来“私有化”我的EC2。 但是我不喜欢这个解决scheme,原因很多,包括成本和路由方面的挑战。
有没有其他的方法来达到我的目标? 我明确地不想configuration每台机器来“阻止”特定的stream量行为或活动。 这是一个痛苦。 我以为有一个想法就是configuration安全组,以某种方式使stream量只在“正确的方向”,但我不清楚这将如何完成……?
不幸的是,您正在寻找VPC的networkingfunction是最好的select。 常规EC2实例不具有出站筛选或ACL。
使用VPC作为伪私有云,但没有专用的硬件隧道。 您可以设置Internet网关并设置一些公用计算机,以便为私有子网中的其他服务器路由通信。 VPC没有任何额外的相关费用。 这也将为您提供出站安全组规则和子网宽ACL。
我唯一能想到的另一种方法就是在虚拟机上保留自己的networking规则。
好的,这是我现在第一次看到的一个老问题。
跨越EC2上的多个服务器的“安全networking”或VPN的选项几乎只有:
除了上述,你可以尝试基于fx OpenVPN的最终用户和个人服务器之间的adhoc VPN。 但是,在许多terminal用户PC上安装和configuration客户端可能会变得老旧。
另一个可以完成这项工作的商业工具是Apani Epiforce,但是它需要在每个服务器实例上进行一些手动设置,并设置一个专用的策略服务器。
安全组。 它允许您控制入站和出站连接。 根据需要创build多个安全组,您可以将其分配给多个EC2实例。 例如,用于Web服务器的DMZ安全组,用于应用服务器的应用安全组等等。