Comment créer un hôte de bastion dans AWS

Comment créer un hôte de bastion dans AWS

Un hôte de bastion est un ordinateur à usage spécial conçu pour gérer les attaques à large bande passante sur Internet et donne accès au réseau privé à partir d'un réseau public. L'utilisation d'un hôte de bastion est facile et sécurisée, et elle peut être configurée dans l'environnement AWS à l'aide des instances EC2. Un hôte Bastion est facilement configuré dans AWS, mais une fois configuré, il nécessite des correctifs, des configurations et des évaluations régulières.

Dans cet article, nous discuterons de la façon de créer un hôte de bastion dans AWS en utilisant des ressources AWS comme les VPC, les sous-réseaux, les passerelles et les instances.

Création d'un hôte de bastion dans AWS

L'utilisateur doit configurer certains paramètres réseau avant de créer des instances pour l'hôte Bastion. Commençons par le processus de configuration de l'hôte Bastion dans AWS à partir de zéro.

Étape 1: Créez un nouveau VPC

Pour créer un nouveau VPC dans la console AWS VPC, cliquez simplement sur le bouton «Créer VPC»:

Dans les paramètres VPC, sélectionnez l'option «VPC uniquement» dans les ressources pour créer. Après cela, nommez le VPC et le type «10.0.0/16 ”comme IPv4 CIDR:

Cliquez sur le bouton «Créer VPC»:

Étape 2: Modifier les paramètres VPC

Modifiez les paramètres VPC en sélectionnant d'abord le VPC nouvellement créé, puis en sélectionnant les «Paramètres VPC Modifier» dans la liste déroulante du bouton «Actions»:

Faites défiler vers le bas et sélectionnez «Activer les noms d'hôte DNS», puis cliquez sur le bouton «Enregistrer»:

Étape 3: Créez un sous-réseau

Créez un sous-réseau associé au VPC en sélectionnant l'option «Sous-réseaux» dans le menu de côté gauche:

Sélectionnez le VPC pour connecter le sous-réseau au VPC:

Faites défiler vers le bas et ajoutez un nom et une zone de disponibilité pour le sous-réseau. Type «10.0.0.1/24 "dans l'espace de bloc CIDR IPv4, puis cliquez sur le bouton" Créer un sous-réseau ":

Étape 4: Modifier les paramètres de sous-réseau

Maintenant que le sous-réseau a été créé, sélectionnez le sous-réseau et cliquez sur le bouton "Actions". Pour le menu déroulant, sélectionnez les paramètres «Modifier le sous-réseau»:

Activez l'adresse publique IPv4 publique Assign Assign and Save:

Étape 5: Créez un nouveau sous-réseau

Maintenant, créez un nouveau sous-réseau en sélectionnant le bouton «Créer un sous-réseau»:

Associez le sous-réseau au VPC de la même manière que fait avec le sous-réseau précédent:

Tapez un nom différent pour ce sous-réseau et ajoutez «10.0.2.0/24 ”comme bloc CIDR IPv4:

Cliquez sur le bouton «Créer un sous-réseau»:

Étape 6: Créez une passerelle Internet

Maintenant, créez une passerelle Internet en sélectionnant simplement l'option «Gateway Internet» dans le menu de gauche, puis en cliquant sur le bouton «Créer une passerelle Internet»:

Nommez la passerelle. Après cela, cliquez sur le bouton «Créer une passerelle Internet»:

Étape 7: Fixez la passerelle à VPC

Maintenant, il est important de joindre la passerelle Internet nouvellement créée avec le VPC que nous utilisons dans le processus. Sélectionnez donc la passerelle Internet nouvellement créée, puis cliquez sur le bouton "Actions" et dans le menu déroulant du bouton "Actions", sélectionnez l'option "Attacher à VPC":

Attaquez le VPC et cliquez sur le bouton «Attacher Internet Gateway»:

Étape 8: Modifier la configuration de la table d'itinéraire

Affichez la liste des tables d'itinéraire créées par défaut en cliquant simplement sur l'option «Route Tables» dans le menu de gauche. Sélectionnez le tableau d'itinéraire associé au VPC utilisé dans le processus. Nous avons nommé le VPC «MyDemovPC» et il peut être différencié des autres tables de route en visualisant la colonne de VPC:

Faites défiler vers le bas vers les détails de la table d'itinéraire sélectionnée et accédez à la section «Routes». De là, cliquez sur l'option «Modifier les routes»:

Cliquez sur «Ajouter des itinéraires»:

Ajouter «0.0.0.0/0 ”comme IP de destination et sélectionnez« Internet Gateway »dans la liste affichée pour« Target »:

Sélectionnez la passerelle nouvellement créée comme cible:

Cliquez sur «Enregistrer les modifications»:

Étape 9: Modifier les associations de sous-réseau

Après cela, accédez à la section «Associations de sous-réseau» et cliquez sur «Modifier les associations de sous-réseau»:

Sélectionnez le sous-réseau public. Nous avons nommé le sous-réseau public «Mydemosubnet». Cliquez sur le bouton «Enregistrer les associations»:

Étape 10: Créez une passerelle NAT

Maintenant, créez une passerelle NAT. Pour cela, sélectionnez les options «Nat Gateways» dans le menu, puis cliquez sur l'option «Créer Nat Gateway»:

Nommez d'abord la passerelle NAT, puis associez le VPC à la passerelle NAT. Définissez le type de connectivité en tant que public, puis cliquez sur «Allouer IP élastique»:

Cliquez sur «Créer Nat Gateway»:

Étape 11: Créez une nouvelle table d'itinéraire

Maintenant, l'utilisateur peut également ajouter une table d'itinéraire manuellement, et pour ce faire, l'utilisateur doit cliquer sur le bouton «Créer la table d'itinéraire»:

Nommez la table d'itinéraire. Après cela, associez le VPC à la table d'itinéraire, puis cliquez sur l'option «Créer la table d'itinéraire»:

Étape 12: Modifier les routes

Une fois la table d'itinéraire créée, faites défiler jusqu'à la section "Routes", puis cliquez sur "Modifier les routes":

Ajoutez un nouvel itinéraire dans la table d'itinéraire avec la «cible» définie comme la passerelle NAT créée dans les étapes précédentes:

Cliquez sur les options «Modifier les associations de sous-réseau»:

Cette fois, sélectionnez le «sous-réseau privé» puis cliquez sur «Save Associations»:

Étape 13: Créez un groupe de sécurité

Un groupe de sécurité est tenu de définir et de définir des règles liées et extérieures:

Créez un groupe de sécurité en ajoutant d'abord un nom pour le groupe de sécurité, en ajoutant une description, puis en sélectionnant le VPC:

Ajouter «ssh» dans le type pour les nouvelles règles liées à l'auberge:

Étape 14: Lancez une nouvelle instance EC2

Cliquez sur le bouton «Lancez l'instance» dans la console de gestion EC2:

Nommez l'instance et sélectionnez un ami. Nous sélectionnons «Amazon Linux» comme AMI pour l'instance EC2:

Configurez les «Paramètres réseau» en ajoutant le VPC et le sous-réseau privé avec l'IPv4 CIDR «10.0.2.0/24 ”:

Sélectionnez le groupe de sécurité créé pour l'hôte Bastion:

Étape 15: Lancez une nouvelle instance

Configurez les paramètres du réseau en associant le VPC, puis en ajoutant le sous-réseau public afin que l'utilisateur puisse utiliser cette instance pour se connecter à la machine locale:

De cette façon, les deux instances EC2 sont créées. L'un a le sous-réseau public, et l'autre a le sous-réseau privé:

Étape 16: Connectez-vous à la machine locale

De cette façon, un hôte de bastion est créé dans AWS. Maintenant, l'utilisateur peut connecter la machine locale aux instances via SSH ou RDP:

Collez la commande ssh copiée sur le terminal avec l'emplacement du format de paire de clés privés «PEM»:

De cette façon, l'hôte Bastion est créé et utilisé dans AWS.

Conclusion

Un hôte de bastion est utilisé pour établir une connexion sécurisée entre les réseaux locaux et publics et pour empêcher les attaques. Il est configuré dans AWS en utilisant les instances EC2, l'une associée au sous-réseau privé et l'autre avec le sous-réseau public. L'instance EC2 avec la configuration du sous-réseau public est ensuite utilisée pour établir la connexion entre le réseau local et le réseau public. Cet article explique bien comment créer un hôte de bastion dans AWS.