Hosts bastión de Linux en la nube de AWS - Guía de ... · disponibilidad y seguridad: • Los...

Hosts bastión de Linuxen la nube de AWS

Guía de implementación dereferencia de inicio rápido

Hosts bastión de Linux en la nube de AWS Guíade implementación de referencia de inicio rápido

Hosts bastión de Linux en la nube de AWS: Guía de implementación dereferencia de inicio rápidoCopyright © 2018 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any mannerthat is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks notowned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored byAmazon.


Table of ContentsHome ................................................................................................................................................ 1

Acerca de los inicios rápidos ........................................................................................................ 2Información general ............................................................................................................................ 3

Costo ........................................................................................................................................ 3Arquitectura ....................................................................................................................................... 4

Servicios de AWS ....................................................................................................................... 6Hosts bastión ............................................................................................................................. 7Prácticas recomendadas .............................................................................................................. 7

Escenarios de implementación ............................................................................................................. 9Pasos de implementación .................................................................................................................. 10

Paso 1. Prepare la cuenta ......................................................................................................... 10Paso 2. Lance la pila ................................................................................................................ 11Paso 3. Añada servicios o aplicaciones ........................................................................................ 20

Personalizar el banner del host bastión ................................................................................................ 21Registro del host bastión ................................................................................................................... 22Solución de problemas ...................................................................................................................... 23Seguridad ........................................................................................................................................ 25Recursos ......................................................................................................................................... 26Comentarios ..................................................................................................................................... 27Revisiones del documento ................................................................................................................. 28

.............................................................................................................................................. 28

iii


Hosts bastión de Linux en la nube deAWS: implementación de referenciade inicio rápido

Guía de implementación

Santiago, Tony Cardenas Vattathil e Ian Hill: arquitectos de soluciones, equipo de referencia de iniciorápido de AWS

Septiembre de 2016 (última actualización (p. 28): abril de 2017)

Esta guía de implementación de referencia de inicio rápido proporciona instrucciones para implementarhosts bastión de Linux en un entorno de Amazon Virtual Private Cloud en la nube de Amazon WebServices (AWS). El inicio rápido también proporciona plantillas de AWS CloudFormation que automatizanla implementación.

La guía va dirigida a arquitectos de infraestructura de TI, ingenieros de DevOps y administradores quevan a desarrollar un entorno en la nube de AWS para sus cargas de trabajo y que desean implementar deforma segura hosts bastión de Linux para administrar sus implementaciones de forma remota.

Los siguientes enlaces se incluyen para su referencia. Antes de lanzar este inicio rápido, consulte laarquitectura, la configuración y otras consideraciones descritas en esta guía.

• Si tiene una cuenta de AWS y ya está familiarizado con los servicios de AWS, puede lanzar el iniciorápido para crear la arquitectura que se muestra en la figura 1 (p. 4) en una Amazon VPC nuevao existente en su cuenta de AWS. La implementación tarda en completarse unos 5 minutos. Si es laprimera vez que utiliza AWS, siga las instrucciones detalladas (p. 10) que se proporcionan másadelante en esta guía.

• Si desea echar un vistazo más detallado, puede examinar las plantillas de AWS CloudFormation que

automatizan la implementación. Las plantillas incluyen la configuración predeterminada que puedepersonalizar siguiendo las instrucciones de esta guía.

1

https://aws.amazon.com/cloudformation/

https://console.aws.amazon.com/cloudformation/home?region=us-west-2#cstack=sn%7ELinux-bastion%7Cturl%7Ehttps://s3.amazonaws.com/quickstart-reference/linux/bastion/latest/templates/linux-bastion-master.template

https://console.aws.amazon.com/cloudformation/home?region=us-west-2#cstack=sn%7ELinux-bastion%7Cturl%7Ehttps://s3.amazonaws.com/quickstart-reference/linux/bastion/latest/templates/linux-bastion.template

https://s3.amazonaws.com/quickstart-reference/linux/bastion/latest/templates/linux-bastion-master.template

https://s3.amazonaws.com/quickstart-reference/linux/bastion/latest/templates/linux-bastion.template


Acerca de los inicios rápidos

Acerca de los inicios rápidosLos inicios rápidos son implementaciones de referencia automatizadas para los componentes deinfraestructura de la nube de AWS y cargas de trabajo empresariales clave en la nube de AWS. Cada iniciorápido lanza, configura y ejecuta servicios de computación, red y almacenamiento de AWS, entre otrosservicios, usando las prácticas de seguridad de AWS en materia de seguridad y disponibilidad.

2

https://aws.amazon.com/quickstart/


Costo

Información generalEste inicio rápido proporciona una funcionalidad de host bastión de Linux para infraestructuras de la nubede AWS. Implementa una nube virtual privada (VPC) mediante la implementación de referencia de iniciorápido de Amazon VPC, configura subredes privadas y públicas e implementa instancias de host bastiónde Linux en esa VPC. También puede elegir implementar hosts bastión de Linux en su infraestructura deAWS existente.

Los hosts bastión proporcionan acceso seguro a las instancias de Linux emplazadas en las subredesprivadas y públicas. La arquitectura de inicio rápido implementa instancias de host bastión de Linux encada subred pública para proporcionar acceso administrativo disponible en todo momento al entorno. Elinicio rápido configura un entorno Multi-AZ, que se compone de dos zonas de disponibilidad. Si el accesoa un host bastión de alta disponibilidad no es necesario, puede detener la instancia en la segunda zona dedisponibilidad e iniciarla cuando sea necesario.

Puede usar este inicio rápido como un componente básico para sus propias implementaciones basadasen Linux. Puede añadir otros componentes de la infraestructura o capas de software para completar suentorno Linux en la nube de AWS. Para crear una infraestructura en la nube de AWS para el acceso ainstancias basadas en Microsoft Windows, consulte el Inicio rápido para Puerta de enlace de Escritorioremoto (RD).

CostoUsted es responsable de los costos de los servicios de AWS usados mientras ejecuta esta implementaciónde referencia de inicio rápido. No se aplica ningún cargo adicional por el uso de el inicio rápido.

La plantilla de AWS CloudFormation para este inicio rápido incluye parámetros de configuración quepuede personalizar. Algunas de estas opciones, como el tipo de instancia, determinarán el costo deimplementación. Consulte la página Precios de Amazon EC2 para obtener información sobre precios.

3

https://docs.aws.amazon.com/quickstart/latest/vpc/

https://docs.aws.amazon.com/quickstart/latest/vpc/

https://docs.aws.amazon.com/quickstart/latest/rd-gateway/

https://docs.aws.amazon.com/quickstart/latest/rd-gateway/

https://aws.amazon.com/ec2/pricing/


ArquitecturaLa implementación de este inicio rápido con los parámetros personalizados crea el siguiente entorno dered virtual en la nube de AWS. (Tenga en cuenta que el diagrama no muestra todos los componentes dela arquitectura de la VPC. Para obtener más información acerca de la arquitectura, consulte el Inicio rápidode Amazon VPC).

4

https://docs.aws.amazon.com/quickstart/latest/vpc/architecture.html

https://docs.aws.amazon.com/quickstart/latest/vpc/architecture.html


Figura 1: Arquitectura de host bastión de Linux en AWS

El inicio rápido crea un entorno de red que incluye los siguientes componentes. Si ya tiene unainfraestructura de AWS, el inicio rápido proporciona también una opción para implementar hosts bastión

5


Servicios de AWS

de Linux en su VPC existente. (La plantilla que implementa el inicio rápido en una VPC existente omite lastareas marcadas con asteriscos).

• Una arquitectura altamente disponible que abarca dos zonas de disponibilidad.*• Una VPC configurada con subredes públicas y privadas, de acuerdo con las prácticas recomendadas de

AWS, para proporcionarle su propia red virtual en AWS.*• Un puerto de enlace a Internet para permitir el acceso a Internet. Esta gateway la utilizan los hosts

bastión para enviar y recibir tráfico.*• Gateways NAT administradas para permitir el acceso de salida a Internet a los recursos de las subredes

privadas.*• Un host bastión de Linux en cada subred pública con una dirección IP elástica para permitir el acceso

Secure Shell (SSH) de entrada a las instancias EC2 en subredes públicas y privadas.• Un grupo de seguridad para controlar detalladamente el acceso de entrada.• Un grupo de Auto Scaling de Amazon EC2 con un número configurable de instancias.• Un conjunto de direcciones IP elásticas que coincide con el número de instancias de host bastión. Si

el grupo de Auto Scaling vuelve a lanzar alguna instancia, estas direcciones se asocian a las nuevasinstancias.

• Un grupo de registros de Amazon CloudWatch Logs para alojar los logs del historial del shell del hostbastión de Linux.

Servicios de AWSLos componentes básicos de AWS utilizados en este inicio rápido incluyen los siguientes servicios deAWS. (Si no está familiarizado con AWS, consulte la sección Primeros pasos de la documentación deAWS).

• Amazon VPC: el servicio Amazon Virtual Private Cloud (Amazon VPC) le permite aprovisionar unasección aislada privada de la nube de AWS, donde puede lanzar servicios de AWS y otros recursosen la red virtual que defina. Puede controlar todos los aspectos del entorno de red virtual, incluida laselección de un intervalo de direcciones IP, la creación de subredes y la configuración de tablas de ruteoy gateways de red.

• Amazon EC2: el servicio Amazon Elastic Compute Cloud (Amazon EC2) le permite lanzar instancias demáquina virtual con una serie de sistemas operativos. Puede elegir alguna de las imágenes de máquinade Amazon (AMI) existentes o importar sus propias imágenes de máquina virtual.

• Amazon EBS: Amazon Elastic Block Store (Amazon EBS) proporciona volúmenes de almacenamientode bloques persistentes para su uso con instancias Amazon EC2 en la nube de AWS. Cada volumen deAmazon EBS se replica automáticamente dentro de su zona de disponibilidad para protegerle en casode que se produzca un error en algún componente y disfrutar así de una disponibilidad y durabilidadelevadas. Los volúmenes de Amazon EBS ofrecen el desempeño constante y de baja latencia necesariopara ejecutar sus cargas de trabajo.

• Gateway NAT: las gateways NAT son dispositivos de traducción de direcciones de red (NAT) queproporcionan acceso de salida a Internet a las instancias de las subredes privadas, pero impiden queInternet tenga acceso a esas instancias. Las gateways NAT proporcionan una mayor disponibilidad yancho de banda que las instancias NAT. El servicio NAT Gateway es un servicio administrado que seencarga de administrar las gateways NAT por usted.

• Auto Scaling: Auto Scaling le ayuda a garantizar que tiene el número correcto de instancias EC2disponibles para controlar la carga de su aplicación. Crea colecciones de instancias EC2, denominadasgrupos de Auto Scaling. Cuando implemente el inicio rápido, podrá especificar la cantidad deseada deinstancias en cada grupo de Auto Scaling; Auto Scaling garantizará que su grupo tenga este número deinstancias en todo momento.

• Amazon CloudWatch Logs: puede utilizar Amazon CloudWatch Logs para monitorizar, almacenary obtener acceso a los archivos log desde instancias EC2, AWS CloudTrail y otras fuentes. Puederecuperar los datos de registro de CloudWatch Logs y monitorizar sus instancias EC2 en tiempo real.

6

https://aws.amazon.com/getting-started/

https://aws.amazon.com/documentation/vpc/

https://aws.amazon.com/documentation/ec2/

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html

https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-nat-gateway.html

https://docs.aws.amazon.com/autoscaling/latest/userguide/

https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/


Hosts bastión

Hosts bastiónLa inclusión de hosts bastión en su entorno de VPC le permite conectarse de forma segura a susinstancias de Linux sin exponer su entorno a Internet. Después de configurar sus hosts bastión, puedetener acceso al resto de las instancias de su VPC a través de conexiones Secure Shell (SSH) en Linux.Los hosts bastión se configuran también con grupos de seguridad para proporcionar un control de entradadetallado.

prácticas recomendadasLa arquitectura creada por este inicio rápido admite las prácticas recomendadas de AWS de altadisponibilidad y seguridad:

• Los hosts bastión de Linux se implementan en dos zonas de disponibilidad para permitir el accesoinmediato en la VPC. Puede configurar el número de instancias de host bastión en el momento dellanzamiento.

• Un grupo de Auto Scaling garantiza que el número de instancias de host bastión coincida con lacapacidad deseada que especifique durante el lanzamiento.

• Los hosts bastión se implementan en subredes públicas (DMZ) de la VPC.• Las direcciones IP elásticas se asocian a las instancias de host bastión para que sean más fáciles de

recordar y para permitir estas direcciones IP desde firewalls on-premises. Si se termina una instancia yel grupo de Auto Scaling lanza una instancia nueva en su lugar, las direcciones IP elásticas existentesse vuelven a asociar a las nuevas instancias. De este modo, se garantiza que se utilicen las mismasdirecciones IP elásticas de confianza en todo momento.

• El acceso de entrada a los hosts bastión está restringido a los ámbitos de CIDR conocidos. Esto seconsigue asociando las instancias de host bastión a un grupo de seguridad. El inicio rápido crea unrecurso BastionSecurityGroup con este fin.

• Los puertos están limitados para permitir únicamente el acceso necesario a los hosts bastión. Para loshost bastión de Linux, el puerto TCP 22 para las conexiones SSH suele ser el único puerto permitido.

Le recomendamos que siga estas prácticas recomendadas cuando utilice la arquitectura creada por elinicio rápido:

• Cuando añada nuevas instancias a la VPC que requieran acceso de administración desde el hostbastión, asegúrese de asociar una regla de entrada del grupo de seguridad, que haga referencia algrupo de seguridad bastión como origen, a cada instancia. También es importante limitar el acceso a lospuertos necesarios para la administración.

• Durante la implementación, la clave pública del par de claves de Amazon EC2 seleccionado se asociaal usuario ec2-user en la instancia de Linux. En caso de que haya usuarios adicionales, debe crearusuarios con los permisos necesarios y asociarlos con sus claves públicas autorizadas individuales parala conectividad SSH.

• Para las instancias de host bastión, debe seleccionar el número y el tipo de instancias de acuerdo con elnúmero de usuarios y operaciones que va a realizar. El inicio rápido crea una instancia de host bastióny utiliza el tipo de instancia t2.micro de forma predeterminada, pero puede cambiar esta configuracióndurante la implementación.

Note

También puede cambiar el número y el tipo de instancias de host bastión después de laimplementación actualizando la pila de AWS CloudFormation y cambiando los parámetros.Cuando se vuelven a configurar las instancias de host bastión, se actualizan las direccionesIP elásticas relacionadas y se cambia la lógica del proceso de arranque en la configuraciónde lanzamiento y en el grupo de Auto Scaling. Sin embargo, antes de actualizar la pila,

7


Prácticas recomendadas

debe terminar las instancias que desea sustituir manteniendo las direcciones IP elásticas.Cuando actualice la pila, Auto Scaling lanzará las nuevas instancias con el tipo de instanciaactualizado y el proceso de arranque asignará las direcciones IP elásticas del grupo existentede direcciones IP que se aprovisionaron durante la implementación inicial.

• Defina la fecha de vencimiento que desee en el grupo de registro de CloudWatch Logs para los logsrecopilados para cada instancia de host bastión. De este modo, se garantiza que el historial de registrosde hosts bastión se conserve solo durante el tiempo que necesite.

• Mantenga sus archivos log de CloudWatch separados para cada host bastión que reinicie la instanciapara que pueda filtrar y aislar los mensajes de los registros de los distintos hosts bastión más fácilmente.Cada instancia lanzada por el grupo de Auto Scaling bastión creará su propia secuencia de registrosbasada en el ID de instancia.

8


Escenarios de implementaciónEste inicio rápido incluye plantillas de AWS CloudFormation distintas para los siguientes dos escenarios deimplementación:

• Implementación en una nueva VPC. Esta plantilla crea la VPC, subredes, gateways NAT y grupos deseguridad en su cuenta de AWS e implementa hosts bastión de Linux en la nueva infraestructura.

• Implementación en una VPC existente. Esta plantilla aprovisiona hosts bastión de Linux en suinfraestructura de VPC existente. Esta opción requiere que haya un entorno de VPC configurado con almenos dos subredes públicas.

En la siguiente sección, puede elegir una de estas plantillas para su implementación.

9


Paso 1. Prepare la cuenta

Pasos de implementaciónSiga las instrucciones paso a paso de esta sección para crear el entorno de red virtual que se muestra enla figura 1 (p. 4) en su cuenta de AWS.

Paso 1. Prepare una cuenta de AWS1. Si aún no tiene una cuenta de AWS, cree una en http://aws.amazon.com; para ello, siga las

instrucciones que aparecen en pantalla. Parte del procedimiento de inscripción consiste en recibir unallamada telefónica e introducir un número PIN con el teclado del teléfono.

2. Utilice el selector de regiones en la barra de navegación para elegir la región de AWS en la que deseaimplementar el inicio rápido en AWS.

Figura 2: Selección de una región de AWS

Sugerencia

Considere la posibilidad de elegir la región que se encuentre más cerca de su centro de datoso red corporativa para reducir la latencia de red entre los sistemas que se ejecutan en AWS ylos sistemas y usuarios de su red corporativa.

3. Cree un par de claves en su región preferida. Para ello, en el panel de navegación de la consola deAmazon EC2, elija Key Pairs, Create Key Pair, escriba un nombre y después elija Create.

10

https://aws.amazon.com/

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html


Paso 2. Lance la pila

Figura 3: Creación de un par de claves

Amazon EC2 utiliza la criptografía de clave pública para cifrar y descifrar la información de inicio desesión. Para poder iniciar sesión en sus instancias, debe crear un par de claves. En Linux, el par declaves se usa para autenticar el inicio de sesión de SSH.

Paso 2. Lance la pila1. Si va a usar el sistema operativo CentOS, suscríbase a la AMI de CentOS en AWS Marketplace.2. Use una de las siguientes opciones para lanzar la plantilla de AWS CloudFormation en su

cuenta de AWS. Para obtener más información sobre estas opciones, consulte Escenarios deimplementación (p. 9).

La plantilla se lanza en la EE.UU. Oeste (Oregón) de forma predeterminada. Puede cambiar la regiónmediante el selector de regiones de la barra de navegación.

11

https://aws.amazon.com/marketplace/pp/B00O7WM7QW

https://console.aws.amazon.com/cloudformation/home?region=us-west-2#cstack=sn%7ELinux-bastion%7Cturl%7Ehttps://s3.amazonaws.com/quickstart-reference/linux/bastion/latest/templates/linux-bastion-master.template

https://console.aws.amazon.com/cloudformation/home?region=us-west-2#cstack=sn%7ELinux-bastion%7Cturl%7Ehttps://s3.amazonaws.com/quickstart-reference/linux/bastion/latest/templates/linux-bastion.template



Cada pila tarda unos 5 minutos en crearse.

Note

Usted es responsable de los costos de los servicios de AWS usados mientras ejecuta estaimplementación de referencia de inicio rápido. No se aplica ningún cargo adicional por el usode este inicio rápido. Para obtener una estimación de los costos, consulte las páginas deprecios de cada servicio de AWS que va a utilizar en este inicio rápido.

3. En la página Select Template, mantenga el valor predeterminado para la URL de la plantilla deAmazon S3 y después elija Next.

4. En la página Specify Details, revise los parámetros de la plantilla, proporcione valores para losparámetros que requieren que se introduzcan datos y personalice la configuración predeterminada sies necesario. Por ejemplo, puede cambiar los tipos de instancias o las direcciones IP de las instanciasde host bastión, o elegir un banner que se muestre cuando se conecte al host bastión.

En las tablas siguientes se indican los parámetros y se describen de forma independiente para laimplementación del host bastión en una nueva VPC (p. 12) o en una VPC existente (p. 16).

Note

Las plantillas para los dos escenarios comparten la mayoría de los parámetros, pero notodos. Por ejemplo, la plantilla para una VPC existente solicita los ID de la VPC y la subredpública en su entorno de VPC existente. También puede descargar las plantillas y editarlaspara crear sus propios parámetros en función de su escenario de implementación específico.

Opción 1: Parámetros para implementar hosts bastión de Linux en una nueva VPC

Ver la plantilla para una nueva VPC

Configuración de red:

Etiqueta de parámetro Nombre del parámetro Valor predeterminado Descripción

Zonas dedisponibilidad

AvailabilityZones Requiere que seintroduzcan datos

La lista de zonas dedisponibilidad para lassubredes de la VPC. Elinicio rápido utiliza doszonas de disponibilidadde la lista y conservael orden lógico queespecifique.

CIDR de VPC VPCCIDR 10.0.0.0/16 Bloque de CIDR de laVPC

CIDR de subredprivada 1

PrivateSubnet1CIDR 10.0.0.0/19 Bloque de CIDR dela subred privadaemplazada en la zonade disponibilidad 1.

CIDR de subredprivada 2

PrivateSubnet2CIDR 10.0.32.0/19 Bloque de CIDR dela subred privadaemplazada en la zonade disponibilidad 2.

12

https://s3.amazonaws.com/quickstart-reference/linux/bastion/latest/templates/linux-bastion-master.template




CIDR de subredpública 1

PublicSubnet1CIDR 10.0.128.0/20 Bloque de CIDR dela subred públicaemplazada en la zonade disponibilidad 1.

CIDR de subredpública 2

PublicSubnet2CIDR 10.0.144.0/20 Bloque de CIDR dela subred públicaemplazada en la zonade disponibilidad 2.

CIDR de accesoexterno a los hostsbastión permitido

RemoteAccessCIDR Requiere que seintroduzcan datos

Bloque de CIDRde acceso externoSSH permitido a loshosts bastión. Lerecomendamos queestablezca este valoren un bloque de CIDRde confianza. Porejemplo, es posibleque desee restringirel acceso a la redcorporativa.

Configuración de Amazon EC2:


Nombre del par declaves

KeyPairName Requiere que seintroduzcan datos

Par de claves públicas/privadas, que lepermite conectarsede forma segura ala instancia una vezlanzada. Cuando creóla cuenta de AWS, esteel par de claves quecreó en la región de suelección.

Sistema operativo de laAMI del host bastión

BastionAMIOS Amazon-Linux-HVM La distribución Linuxde la AMI que seva a usar para lasinstancias de hostbastión. Si eligeCentOS, asegúresede que tiene unasuscripción a la AMIde CentOS en AWSMarketplace.

Tipo de instancia dehost bastión

BastionInstanceType t2.micro Tipo de instancia EC2para las instancias dehost bastión.

13






Configuración de hosts bastión de Linux:


Número de hostsbastión

NumBastionHosts 1 El número de hostsbastión de Linux quese van a ejecutar.Auto Scaling garantizaque siempre tengaeste número de hostsbastión ejecutándose.El máximo es 4 hostsbastión.

Habilitar banner EnableBanner false Incluye o suprime elbanner que se muestracuando se conecta alhost bastión a travésde SSH. Para mostrarel banner, establezcaeste parámetro en true.(Consulte la secciónsobre personalizacióndel banner (p. 21)).

Banner del hostbastión

BastionBanner URLpredeterminada

URL del archivode texto ASCII quecontiene el texto delbanner que se muestratras iniciar sesión.(Consulte la secciónsobre personalizacióndel banner (p. 21)).

Habilitar el reenvíoTCP

EnableTCPForwarding false Establezca estevalor en true parahabilitar el reenvíoTCP (tunelizaciónSSH). Esto puedeser muy útil, perotambién constituyeun riesgo para laseguridad, por lo quele recomendamosque mantenga elvalor predeterminado(desactivado), a menosque sea necesario.

14




Habilitar el reenvío X11 EnableX11Forwarding false Establezca estevalor en true parahabilitar X Windowsa través de SSH. Elreenvío X11 puedeser muy útil, perotambién constituyeun riesgo para laseguridad, por lo quele recomendamosque mantenga elvalor predeterminado(desactivado), a menosque sea necesario.

Configuración de inicio rápido de AWS:


Nombre del bucket deS3 de inicio rápido

QSS3BucketName quickstart-reference Bucket de S3 donde seinstalan las plantillasy los scripts delinicio rápido. Useeste parámetro paraespecificar el nombredel bucket de S3 queha creado para sucopia de los recursosdel inicio rápido, sidecide personalizar oampliar el inicio rápidopara su propio uso.El nombre de bucketpuede incluir números,letras minúsculas,letras mayúsculas yguiones, pero no debeempezar ni terminarcon un guion.

15




Prefijo de clave de S3de inicio rápido

QSS3KeyPrefix linux/bastion/latest El prefijo de nombrede clave de S3 usadopara simular unacarpeta para su copiade los recursos delinicio rápido, si decidepersonalizar o ampliarel inicio rápido para supropio uso. Este prefijopuede incluir números,letras minúsculas,letras mayúsculas,guiones y barrasdiagonales, perono debe empezarni terminar conuna barra diagonal(que se añadiráautomáticamente).

Opción 2: Parámetros para implementar hosts bastión de Linux en una VPC existente

Ver la plantilla para una VPC existente

Configuración de red:


VPC ID VPCID Requiere que seintroduzcan datos

ID de la VPC existente(por ejemplo,vpc-0343606e).

ID de subred pública 1 PublicSubnet1ID Requiere que seintroduzcan datos

ID de la subred públicaen la que deseaaprovisionar el primerhost bastión (porejemplo, subnet-a0246dcd).

ID de subred pública 2 PublicSubnet2ID Requiere que seintroduzcan datos

ID de la subredpública en la quedesea aprovisionar elsegundo host bastión(por ejemplo, subnet-e3246d8e).

16

https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingMetadata.html


https://s3.amazonaws.com/quickstart-reference/linux/bastion/latest/templates/linux-bastion.template




CIDR de accesoexterno a los hostsbastión permitido

RemoteAccessCIDR Requiere que seintroduzcan datos

Bloque de CIDRde acceso externoSSH permitido a loshosts bastión. Lerecomendamos queestablezca este valoren un bloque de CIDRde confianza. Porejemplo, es posibleque desee restringirel acceso a la redcorporativa.

Configuración de Amazon EC2:


Nombre del par declaves

KeyPairName Requiere que seintroduzcan datos

Par de claves públicas/privadas, que lepermite conectarsede forma segura ala instancia una vezlanzada. Cuando creóla cuenta de AWS, esteel par de claves quecreó en la región de suelección.

Sistema operativo de laAMI del host bastión

BastionAMIOS Amazon-Linux-HVM La distribución Linuxde la AMI que seva a usar para lasinstancias de hostbastión. Si eligeCentOS, asegúresede que tiene unasuscripción a la AMIde CentOS en AWSMarketplace.

Tipo de instancia dehost bastión

BastionInstanceType t2.micro Tipo de instancia EC2para las instancias dehost bastión.

Configuración de hosts bastión de Linux:

17







Número de hostsbastión

NumBastionHosts 1 El número de hostsbastión de Linux quese van a ejecutar.Auto Scaling garantizaque siempre tengaeste número de hostsbastión ejecutándose.El máximo es 4 hostsbastión.

Habilitar banner EnableBanner false Incluye o suprime elbanner que se muestracuando se conecta alhost bastión a travésde SSH. Para mostrarel banner, establezcaeste parámetro en true.(Consulte la secciónsobre personalizacióndel banner (p. 21)).

Banner del hostbastión

BastionBanner URLpredeterminada

URL del archivode texto ASCII quecontiene el texto delbanner que se muestratras iniciar sesión.(Consulte la secciónsobre personalizacióndel banner (p. 21)).

Habilitar el reenvíoTCP

EnableTCPForwarding false Establezca estevalor en true parahabilitar el reenvíoTCP (tunelizaciónSSH). Esto puedeser muy útil, perotambién constituyeun riesgo para laseguridad, por lo quele recomendamosque mantenga elvalor predeterminado(desactivado), a menosque sea necesario.

18




Habilitar el reenvío X11 EnableX11Forwarding false Establezca estevalor en true parahabilitar X Windowsa través de SSH. Elreenvío X11 puedeser muy útil, perotambién constituyeun riesgo para laseguridad, por lo quele recomendamosque mantenga elvalor predeterminado(desactivado), a menosque sea necesario.

Configuración de inicio rápido de AWS:


Nombre del bucket deS3 de inicio rápido

QSS3BucketName quickstart-reference Bucket de S3 donde seinstalan las plantillasy los scripts delinicio rápido. Useeste parámetro paraespecificar el nombredel bucket de S3 queha creado para sucopia de los recursosdel inicio rápido, sidecide personalizar oampliar el inicio rápidopara su propio uso.El nombre de bucketpuede incluir números,letras minúsculas,letras mayúsculas yguiones, pero no debeempezar ni terminarcon un guion.

19


Paso 3. Añada servicios o aplicaciones


Prefijo de clave de S3de inicio rápido

QSS3KeyPrefix linux/bastion/latest El prefijo de nombrede clave de S3 usadopara simular unacarpeta para su copiade los recursos delinicio rápido, si decidepersonalizar o ampliarel inicio rápido para supropio uso. Este prefijopuede incluir números,letras minúsculas,letras mayúsculas,guiones y barrasdiagonales, perono debe empezarni terminar conuna barra diagonal(que se añadiráautomáticamente).

Cuando termine de revisar y personalizar los parámetros, elija Next.5. En la página Options, puede especificar etiquetas (pares de clave-valor) para los recursos de la pila y

definir opciones avanzadas. Cuando haya terminado, elija Next.6. En la página Review, revise y confirme la configuración de la plantilla. En Capabilities, seleccione la

casilla para confirmar que la plantilla creará los recursos de IAM.7. Elija Create para implementar la pila.8. Monitorice el estado de la pila. Cuando el estado sea CREATE_COMPLETE, la pila estará lista.

Paso 3. Añada servicios de AWS u otrasaplicaciones

Después de utilizar este inicio rápido para crear su entorno de VPC con hosts bastión de Linux, puedeimplementar inicios rápidos adicionales o implementar sus aplicaciones en la infraestructura de AWS.Si decide ampliar su entorno de AWS con inicios rápidos adicionales para pruebas o producción, lerecomendamos que elija la opción para implementar el inicio rápido en una VPC existente, donde estaopción esté disponible.

20



https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-resource-tags.html

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-add-tags.html



Personalizar el banner del hostbastión de Linux

Este inicio rápido proporciona el banner predeterminado que se muestra en la figura 4 para los hostsbastión de Linux. El banner se suprime de forma predeterminada, pero puede habilitarlo estableciendo elparámetro EnableBanner en true durante la implementación.

Figura 4: Banner predeterminado para los hosts bastión de Linux

Para personalizar el banner, puede crear un archivo de texto ASCII con su propio contenido de banner,cargarlo en un bucket de S3 o cualquier otra ubicación de acceso público, y asegurarse de que se puedeobtener acceso a él desde el host.

21


Registro del host bastiónLos hosts bastión implementados por este inicio rápido proporcionan un registrador de comandos en elarchivo /var/log/bastion/bastion.log. Este archivo log contiene la información siguiente: la fecha,la dirección IP de conexión del cliente SSH, el nombre de usuario, el directorio de trabajo y los comandosemitidos.

Para mayor seguridad, el contenido del archivo /var/log/bastion/bastion.log se almacenatambién en un grupo de registro de CloudWatch Logs en la nube de AWS y estará disponible si se produceun error en los hosts bastión.

El log incluye un historial de todos los comandos que se ejecutan cuando un usuario inicia sesión. Porejemplo, en la figura 5 se muestra un log en el que se registra que un usuario ha iniciado sesión a travésde una dirección IP concreta, ha intentado eliminar el archivo de contraseñas como un usuario estándar y,a continuación, ha intentado obtener acceso raíz y eliminar el log del host bastión.

Figura 5: Registrador de comandos para hosts bastión

Si desea informar a sus usuarios de que todos los comandos se monitorizarán y registrarán, lerecomendamos que habilite el banner del host bastión, tal y como se describe en la sección anterior.El texto del banner predeterminado incluye la alerta que se muestra en la figura 4 (p. 21) y puedepersonalizarlo según sea necesario.

El archivo bastion.log tiene un conjunto de bits inmutables, por lo que no se puede eliminar ni manipularfácilmente. Si un usuario malintencionado encuentra el archivo bastion.log, consigue privilegios raíz,elimina las protecciones y elimina el archivo log, hay un archivo shadow que contiene una copia del log.El archivo shadow se encuentra en /var/log/bastion/.bastion.log. Este archivo es solo unacopia (un atacante puede encontrarlo y eliminarlo). Por este motivo, el inicio rápido almacena también elcontenido del archivo bastion.log de forma remota mediante el servicio de CloudWatch Logs. Los archivoslog se pueden encontrar en CloudWatch Logs utilizando el ID de instancia como el nombre de transmisióndel log.

22


Solución de problemasP: Aparece un error CREATE_FAILED al lanzar el inicio rápido. ¿Qué tengo que hacer?

R. Si AWS CloudFormation no puede crear la pila, le recomendamos que vuelva a lanzar la instancia conla opción Rollback on failure establecida en No. (Esta opción está bajo Advanced en la consola de AWSCloudFormation, página Options). Con esta configuración, el estado de la pila se conserva y la instanciase seguirá ejecutando para que pueda solucionar el problema. (Deberá examinar los archivos log en%ProgramFiles%\Amazon\EC2ConfigService y en la carpeta C:\cfn\log).

Importante

Cuando establece Rollback on failure en No, se siguen aplicando cargos de AWS para esta pila.Asegúrese de eliminar la pila cuando haya terminado de resolver el problema.

En la siguiente tabla se muestran mensajes de error CREATE_FAILED específicos que puede encontrar.

Mensaje de error Causa posible Solución

API: ec2: RunInstances Notauthorized for images: ami-ID

La plantilla hace referencia a unaAMI que ha vencido.

Actualizamos las AMIfrecuentemente, pero algunasactualizaciones tienen lugardespués de cambiar las AMI deAWS. Si recibe este mensajede error, póngase en contactocon nosotros. Actualizaremos laplantilla con el nuevo ID de AMI.

Si desea corregir la plantillausted mismo, puede descargarlay actualizar la sección Mappingscon el ID de AMI más recientepara su región.

We currently do not havesufficient tipo-instanciacapacity in the AZ you requested.

Sus recursos requieren untipo de instancia más grande odiferente.

Cambie a un tipo de instanciaque admita mayor capacidad.Si no hay disponible un tipo deinstancia con mayor capacidad,pruebe con una zona dedisponibilidad o región diferentes.También puede rellenar elformulario de solicitud en elCentro de AWS Support paraaumentar el límite de AmazonEC2 para el tipo de instancia oregión. Los aumentos de límiteestán asociados a la región parala que se solicitan.

Instance ID did not stabilize Ha superado el número de IOPSpara la región.

Solicite un aumento del límiterellenando el formulario desolicitud en el Centro de AWSSupport.

23

https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase&limitType=service-code-




Mensaje de error Causa posible Solución

In order to use this AWSMarketplace product you need toaccept terms and subscribe. Todo so please visit URL.

Ha cambiado el valor delparámetro BastionAMIOS aCentOS, pero no está suscrito alsistema operativo CentOS.

Suscríbase a la AMI de CentOSen AWS Marketplace y, acontinuación, implemente denuevo el inicio rápido.

Para obtener información adicional, consulte Troubleshooting AWS CloudFormation en el sitio web deAWS. Si el problema que aparece no figura en esa página o en la tabla, visite el Centro de AWS Support.Si abre una incidencia de soporte técnico, adjunte el archivo install.log de la instancia principal (es elarchivo log que se encuentra en la carpeta /root/install) al ticket.

P: He cambiado el parámetro de tipo de instancia después de implementar y actualizar la pila, pero lostipos de instancias no han cambiado ni las direcciones IP elásticas se han vuelto a asociar después deactualizar la pila.

A. Termine sus instancias del host bastión. Se sustituirán por Auto Scaling. Las nuevas instancias pasaránpor el proceso de arranque, que establece la configuración de seguridad y los logs de CloudWatch, yasocia las direcciones IP elásticas del grupo de direcciones IP creado como parte de la pila.

P: Aparece un error de limitación de tamaño cuando implemento las plantillas de AWS CloudFormation.

R. Le recomendamos que lance las plantillas de inicio rápido desde la ubicación proporcionada o desdeotro bucket de S3. Si implementa las plantillas desde una copia local en su equipo o desde una ubicaciónde S3, pueden aparecer errores de limitación del tamaño de la plantilla al crear la pila. Para obtener másinformación acerca de los límites de AWS CloudFormation, consulte la documentación de AWS.

24



https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html

https://console.aws.amazon.com/support/

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cloudformation-limits.html


SeguridadEste inicio rápido aprovisiona un host bastión de Linux en cada zona de disponibilidad con un único grupode seguridad como firewall virtual. Este grupo de seguridad es necesario para el acceso remoto desdeInternet. El grupo de seguridad está configurado del modo siguiente:

Entrada:

Fuente Protocolo Puertos

CIDR de acceso remoto TCP 22

CIDR de acceso remoto ICMP N/D

Salida:

Destino Protocolo Puertos

0.0.0.0/0 Todo Todos

Para obtener información adicional consulte Security in Your VPC en la documentación de Amazon VPC.

25

https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html


Recursos adicionalesServicios de AWS

• AWS CloudFormation• Amazon EC2:

• Guía del usuario de Linux• Direcciones IP elásticas

• Amazon VPC• Grupos de seguridad• Servidores host bastión

Implementaciones de referencia de inicio rápido

• Página principal de inicio rápido de AWS

26

https://aws.amazon.com/documentation/cloudformation/

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html

https://blogs.aws.amazon.com/security/post/Tx3N8GFK85UN1G6/Securely-connect-to-Linux-instances-running-in-a-private-Amazon-VPC



Envíenos sus comentariosPuede visitar nuestro repositorio de GitHub para descargar las plantillas y los scripts de este inicio rápido,publicar sus comentarios y compartir sus personalizaciones con otros usuarios.

27

https://github.com/aws-quickstart/quickstart-linux-bastion


Revisiones del documentoFecha Cambio Ubicación

Abril de 2017 Se ha actualizado el grupo deAuto Scaling, CloudWatch Logsy opciones de configuraciónadicionales

Cambios en las plantillas y en laguía

Septiembre de 2016 Publicación inicial –

AvisosEsta guía de implementación se suministra únicamente con fines informativos. Representa la ofertaactual de productos y prácticas de AWS a partir de la fecha de publicación de este documento. Dichasprácticas y productos pueden modificarse sin previo aviso. Los clientes son responsables de realizar suspropias evaluaciones de la información contenida en este documento y de cualquier uso de los productos oservicios de AWS, cada uno de los cuales se ofrece “tal cual”, sin garantía de ningún tipo, ya sea explícitao implícita. Este documento no genera ninguna garantía, declaración, compromiso contractual, condición nicerteza por parte de AWS, sus filiales, proveedores o licenciantes. Las responsabilidades y obligaciones deAWS con respecto a sus clientes se controlan mediante los acuerdos de AWS y este documento no formaparte ni modifica ningún acuerdo entre AWS y sus clientes.

El software incluido en esta guía se proporciona con la licencia de Apache, versión 2.0 (la "Licencia"). Nose puede utilizar este archivo, salvo en conformidad con la Licencia. Encontrará una copia de la Licenciaen http://aws.amazon.com/apache2.0/ o en el archivo "license" que acompaña a este archivo. Este códigose distribuye "TAL CUAL", SIN GARANTÍAS NI CONDICIONES DE NINGÚN TIPO, ya sean explícitaso implícitas. Consulte la Licencia para conocer los permisos y limitaciones específicos en virtud de laLicencia.

28

https://aws.amazon.com/apache2.0/

Hosts bastión de Linux en la nube de AWS - Guía de ... · disponibilidad y seguridad: • Los...

Documents

Transcript of Hosts bastión de Linux en la nube de AWS - Guía de ... · disponibilidad y seguridad: • Los...