Secure access to EC2 (for developers)

《Secure access to EC2 (for developers)》 Golang Warsaw #56 Jakub Wołynko ### 文档总结 #### 1. **为什么安全性重要？** - **主要威胁**：暴力攻击、安全漏洞利用、弱密码攻击、bots和scanner、DDoS攻击。 - **建议**：禁用默认用户（如root、ubuntu、ec2-user），使用安全组限制访问。 #### 2. **3-tier 架构** - **优点**：对资源访问有全控制，可能断开资源与互联网的连接，整体更安全。 - **缺点**：架构更复杂，增加了VPN、NAT网关等成本，资源访问更麻烦。 #### 3. **连接资源的替代方法** 1. **Bastion 主机** - **优点**： easiest solution，适用于多种云平台（如AWS、Azure、Oracle Cloud）。 - **缺点**：需要维护，成本较低但工作量较大。 - **配置建议**：使用SSH密钥认证，禁用密码登录，安装fail2ban，火墙配置等。 2. **SSM（AWS Systems Manager）** - **优点**：功能强大，支持远程命令执行和会话管理。 - **缺点**：成本较高，配置相对复杂，需安装管理代理。 3. **EC2 Instance Connect** - **优点**：通过VPC端点提供SSH/RDP会话，无需跳板机或SSH密钥管理，集成CloudTrail和IAM。 - **缺点**：配置复杂度介于Bastion主机和SSM之间，部分实例不支持。 - **成本**：最具成本效益，但非免费服务，标准数据转移费仍适用。 #### 4. **总结与建议** - Bastion主机是最简单的解决方案，适合大多数场景。 - SSM适合需要高灵活性的场景，但成本较高。 - EC2 Instance Connect是AWS推荐的成本优化方案，且集成较好，但部分实例不支持。 - **生产环境需求**：升级SSH安全配置，例如禁用密码登录、更改SSH端口、安装fail2ban等。 ### 重要信息提要 - **安全配置建议**：禁用默认用户、使用安全组、锁定密码登录、启用防火墙等。 - **成本对比**：EC2 Instance Connect最具成本效益，SSM灵活但昂贵，Bastion主机维护成本较低但需手动管理。