我需要在私有子网中设置一个包含多个服务器的AWS VPC,混合使用Windows和RHEL
堡垒主机可能是通过VPC对等链接的单独管理VPC中的RDP服务器
使用RDP盒通过Putty SSH连接到Linux服务器是不好的做法,只要我们不在RDP堡垒上存储私钥并通过Paegent或类似方式使用SSH代理转发?或者这是一个常见且可接受的用例?
答案 0 :(得分:2)
在网络前端安装基于RDP的堡垒主机非常有意义。仅仅因为其他选项很少(特别是在混合环境中)。事实上,你的选择很大程度上取决于那个或VPN(两者显然都更好)
堡垒主机提供额外的安全层,用于深度防御安全实践。它为您提供了另一个检测和防止网络攻击的机会。
RDP是一个相当安全的协议,虽然有一些攻击媒介,但一旦配置正确,还有内置的方法来缓解它们。
第一步是确保配置Network Level Authentication,这将通过在启动之前要求身份验证来降低直接攻击RDP会话的能力。要求拒绝会话的资源较少,使得DDOS攻击不太成功。可以使用TLS配置NLA以提供相互身份验证。
RDP协议本身提供强制性强/ fips兼容加密选项,以及进一步的证书身份验证。
最重要的是,您可以使用IPSEC提供IP级别的安全性。
显然,强大的复杂密码(甚至是智能卡登录)是可取的,因为它与其他Windows机器不在同一个域中。定期审核安全日志,以了解正在呈现的攻击。 (理想情况下是一些自动异常报告)
最后,仔细选择您在两个网络之间应用于安全组的规则。考虑攻击者访问堡垒的影响,他们需要进一步的身份验证。他们从那一点可以看到什么样的攻击面。理想情况下,应该只是更多的RDP和SSH。将管理工具放在堡垒上如果他们设法闯入帝国,就会将钥匙交给帝国。
答案 1 :(得分:1)
您还可以考虑仅使用私有子网并包含一个虚拟专用网关,允许您通过IPsec VPN隧道与内部部署进行通信。它比使用堡垒主机安全得多,因为您根本不会将您的网络暴露在互联网上。
此处有关此配置的更多信息: http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario4.html
答案 2 :(得分:1)
回答这个问题,不是不坏的做法。这只是您可以采用的众多实践中的一种。