YoVDO

Securing VPC Resources with Security Groups (Simplified Chinese)

Offered By: Amazon Web Services via AWS Skill Builder

Tags

Amazon EC2 Courses Network Security Courses Access Control Courses Cloud Security Courses Virtual Private Cloud (VPC) Courses AWS Systems Manager Courses Bastion Hosts Courses

Course Description

Overview

Save Big on Coursera Plus. 7,000+ courses at $160 off. Limited Time Only!

实验概览

安全组是一种与 Amazon Elastic Compute Cloud (Amazon EC2) 实例关联的虚拟防火墙。安全组规则规定了哪些流量可以传入或传出实例。在本实验中,您是一名安全监控人员,负责为 Amazon EC2 实例配置访问规则。您必须确保只允许获得授权的流量传入每个实例。要完成这一任务,您需要确定应该允许哪些流量进入,还需要检查与实例关联的安全组规则。然后,您需要测试连接状况并更正所有配置错误的规则。

在本实验中,一个名为 AppServer 的实例充当应用程序服务器,且已在私有子网中启动。这意味着该实例无法直接从互联网访问。要测试 AppServer 安全组规则,您首先要连接到中间 Amazon EC2 实例,其位于相同 Virtual Private Cloud (VPC) 的公有子网中。该中间实例是一种堡垒主机(或跳转服务器),因此命名为 BastionHost。通过 BastionHost 连接,您将连接到私有子网中的 AppServer 实例并测试其安全组规则。堡垒主机/跳转服务器是远程管理私有子网资源的一种常见网络安全配置。

在公有子网中还有另一个名为 PublicServer 的 Amazon EC2 实例。您将首先使用 PublicServer 来测试并确保只允许 SSH 流量从 BastionHost 进入 AppServer。这可以最大程度地降低在 AppServer 上执行未授权 SSH 操作的风险。稍后,您将把安全配置从 BastionHost 复制到 PublicServer,创建第二个堡垒主机以实现冗余。

为简便起见,AWS Systems Manager 服务的代理现已安装在 BastionHostPublicServer 上。这样,您就可以通过 Systems Manager Session Manager 在浏览器中使用预配置 URL 立即创建连接到其中任一实例的 SSH 会话。在本实验的结尾,您将进一步了解如何将 Session Manager 用作传统堡垒主机的替代方案。

Session Manager 是一项完全托管的 AWS Systems Manager 功能,借助该功能,您可以通过基于浏览器的交互式一键 Shell 或 AWS Command Line Interface (AWS CLI) 来管理 Amazon EC2 实例、本地部署的实例和虚拟机 (VM)。Session Manager 可以提供安全、可审计的实例管理,无需打开入站端口、维护堡垒主机或管理 SSH 密钥。另外,Session Manager 可以帮助您轻松遵守具有以下要求的企业策略:实例访问控制、严格安全实践以及附有实例访问详细信息的完整可审计日志,同时仍能为终端用户提供对托管实例的简单一键式跨平台访问。

涵盖的主题

完成本实验内容后,您将能够:

  • 检查安全组并确定允许哪些流量传入。
  • 更改要应用到 Amazon EC2 实例的安全组。
  • 更新安全组以遵循最低权限原则。
  • 了解安全组如何引用其他安全组。
  • 了解如何利用 Session Manager 来连接实例。

先决条件

要完成本实验,您需要:

  • 配有运行 Microsoft Windows、macOS 或 Linux(Ubuntu、SuSE 或 Red Hat)且可以连接 Wi-Fi 的笔记本电脑

注意:使用 iPad 或平板设备无法访问本实验环境,但是您可以使用这些设备来访问学员指南。

  • 对于 Microsoft Windows 用户:需要拥有计算机管理员权限
  • 互联网浏览器,例如 Chrome、Firefox 或 Internet Explorer 9(不支持旧版本 Internet Explorer)
  • 可选:SSH 客户端,例如 PuTTY

持续时间

完成本实验大约需要 45 分钟。

本实验中未使用的 AWS 服务

本实验中未使用的 AWS 服务已在实验环境中禁用。此外,本实验中所用服务的功能仅限于本实验所需。如果访问其他服务或执行本实验指南中未规定的操作,可能会出现错误。


Tags

Related Courses

Network Security
(ISC)² via Coursera
5G Network Fundamentals
Institut Mines-Télécom via Coursera
5G for Everyone
Qualcomm via Coursera
AWS Advanced Networking Specialty (LA)
A Cloud Guru
AWS Certified Advanced Networking - Specialty 2020
A Cloud Guru