Bastion Host 概要

  • Bastion は、Fortinet の背後にあるものを保護するための構造を意味します。
  • AWSでは、Bastion ホスト(Jumpサーバーとも呼ばれます)を使用してプライベートサブネット内のインスタンスに安全にアクセスできます。
  • パブリックサブネットで起動された Bastion ホストは、インターネットからのプライマリアクセスポイントとして機能し、他のインスタンスへのプロキシとして機能します。
    Bastion ホストの概要

キーポイント

  • Bastion ホストはパブリックサブネットに配置され、あなたとあなたのインスタンスの間のプロキシまたはゲートウェイとして機能します。
    * Bastion ホストは、インフラストラクチャに対する攻撃を軽減するのに役立つセキュリティ対策であり、単一レイヤの強化に集中する必要があります。
    * Bastion ホストでは、プライベートキーを Bastion ホストに保存することなく、プライベートサブネット内のインスタンスに安全にログインできます(ssh-agent 転送または RDP ゲートウェイを使用)
  • Bastion ホストのセキュリティをさらに強化して、特定の信頼できる IP または企業の IP 範囲からの SSH/RDP アクセスを可能にすることができます。
  • AWS インフラストラクチャの Bastion ホストは、不要なセキュリティホールを開く可能性があるため、他の目的に使用しないでください。
  • プライベートサブネット内のすべてのインスタンスのセキュリティは、Bastion ホストからの SSH/RDP 接続のみを受け入れるように強化する必要があります。
  • それぞれの可用性ゾーンに HA の Bastion ホストを配備する。Bastion インスタンスまたは Bastion サーバーをホストしている AZ がダウンすると、プライベートインスタンスへの接続機能が完全に失われる

AWS認定試験の練習問題

  • 質問はインターネットから収集され、答えは自分の知識と理解に基づいてマークされます(これはあなたと異なる場合があります)。
  • AWSサービスは毎日更新され、回答と質問はすぐに時代遅れになる可能性がありますので、それに応じて調査してください。
  • AWSのアップデートのペースを追うためにAWS試験の質問は更新されないため、基礎となる機能が変更されても質問が更新されないことがあります。
  • さらなるフィードバック、ディスカッション、修正を可能にします。
  1. 顧客は、企業ネットワークに接続されていない仮想プライベートクラウド(VPC)内の複数層の Web アプリケーションファームを実行しています。 彼らは、パブリックサブネットとプライベートサブネットの両方で動作するすべての Amazon EC2 インスタンスを管理するために、インターネット経由で VPC に接続しています。 彼らは、アプリケーションインスタンスセキュリティグループへの Microsoft リモートデスクトッププロトコル(RDP)アクセスで砦セキュリティグループを承認しただけですが、VPC 内のすべてのインスタンスへの管理アクセスをさらに制限したいと考えています。 この要件を満たす Bastion の次の配備シナリオはどれですか?
    1. VPC のすべてのインスタンスへの RDP アクセス権を持つ Windows Bastion ホストを企業ネットワークに展開します。
    2. パブリックサブネットに Elastic IP アドレスを持つ Windows Bastion ホストを展開し、任意の場所からの Bastion
      への
      SSH アクセスを許可します。
    3. プライベートサブネットに Elastic IP アドレスを持つ Windows Bastion ホストを展開し、企業のパブリック IP アドレスのみからの Bastion への RDP アクセスを制限します。
    4. パブリックサブネットに自動的に割り当てられたパブリック IP アドレスを持つ Windows Bastion ホストを展開し、企業のパブリック IP アドレスのみからの Bastion への RDP アクセスを許可します。
  2. Bastion ホストを持つシステムを設計しています。このコンポーネントは、人間の介入なしに高可用性が必要です。あなたはどのアプローチを選択しますか?
    1. それぞれの AZ に1つずつ2つのインスタンスで bastion を起動する。
    2. 1つの AZ 内のアクティブなインスタンス上で bastion を起動し、失敗した場合に AMI を起動させる。
    3. Auto Scaling グループで bastion インスタンスを設定する複数の AZ を含むように Auto Scaling グループを指定しますが、最小サイズは1、最大サイズは1です。
    4. Bastion インスタンスの前に ELB を構成する。
  3. あなたはソリューションアーキテクトとして、Amazon の仮想プライベートクラウド(VPC)への電子商取引プラットフォームの移行を支援する企業の顧客を支援してきました。前のアーキテクトはすでに3層 VPC を導入しています。 設定は次のとおりです。
    VPC vpc-2f8tC447
    IGW ig-2d8bc445
    NACL acl-2080c448
    Subnets and Route Tables:
    Web server’s subnet-258bc44d
    Application server’s subnet-248DC44c
    Database server’s subnet-9189c6f9
    Route Tables:
    rtb-2i8bc449
    rtb-238bc44b
    Associations:
    Subnet-258bc44d: rtb-2i8bc449
    Subnet-248DC44c: rtb-238bc44b
    Subnet-9189c6f9: rtb-238bc44b
    これで、EC2 インスタンスを VPC に導入する準備が整いました。 Web サーバーはインターネットに直接アクセスする必要がありますアプリケーションとデータベースサーバーはインターネットに直接アクセスできません。 以下のどの設定を使用すると、アプリケーションサーバーとデータベースサーバーをリモート管理したり、これらのサーバーがインターネットから更新プログラムを取得できるようになりますか?

    1. bastion と NAT インスタンスを subnet-258bc44d で作成し、rtb-238bc44b から subnet-258bc44d にルートを追加します。(ルートは NAT を指す必要があります)
    2. rtb-238bc44b から igw-2d8bc445 へのルートを追加し、Subnet-248DC44c 内に bastion と NAT インスタンスを追加します。 (248DC44c に igw を追加すると、アプリケーションとデータベースサーバーがインターネットに公開されます。bastion と NAT はパブリックサブネット内にある必要があります)
    3. subnet-258bc44d で Bastion および NAT インスタンスを作成します。 rtb-238bc44b から igw-2d8bc445 にルートを追加します。また、subnet-258bc44d と subnet-248bc44c 間のアクセスを可能にする新しいNACL。(ルートは NAT を指し、インターネットゲートウェイ以外はインターネットにアクセスできます。)
    4. bastion と NAT インスタンスを subnet-258bc44d に作成し、rtb-238bc44b から NAT インスタンスにルートを追加します。(bastion と NAT はパブリックサブネット内にある必要があります。Web サーバーがインターネットに直接アクセスできるように、サブネット subnet-258bc44d はパブリックであり、ルート rtb-2i8bc449 は IGW を指します。プライベートサブネットのルート rtb-238bc44b は、発信インターネットアクセス用の NAT を指す必要があります)
  4. あなたは VPC で動作する Amazon EC2 インスタンスにアクセスするための Linux bastion ホストを設定する必要があります。 企業の外部パブリック IP アドレス 72.34.51.100 から接続しているクライアントだけが、ホストへの SSH アクセス権を持っている必要があります。 顧客の要件を満たすオプションはどれですか?
    1. セキュリティグループの受信ルール: プロトコル– TCP。ポートの範囲-22、ソース 72.34.51.100/32
    2. セキュリティグループの受信ルール: プロトコル– UDP, ポートの範囲– 22, ソース 72.34.51.100/32
    3. ネットワーク ACL 受信ルール: プロトコル– UDP, ポート範囲– 22, ソース 72.34.51.100/32
    4. ネットワーク ACL の受信ルール: プロトコル-TCP、ポートの範囲-22、ソース 72.34.51.100/0

Jayendra’s Blog

この記事は自己学習用に「AWS Bastion Host – Certification(Jayendra’s Blogより)」を日本語に訳した記事です。