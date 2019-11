Serverzugriff ohne Bastion-Host

Shell-Zugriff auf Server ist aus Sicherheitsgründen verpönt, um sogenannten Configuration Drift zu verhindern und Auditierbarkeit zu ermöglichen. In der Praxis gibt es aber gute Gründe für den direkten Zugriff – im Notfall oder zur Fehlerfindung, wenn ein umfangreiches zentrales Logging noch nicht existiert. Dies wiederum erfordert meistens den Betrieb von Bastion-Hosts, doch es geht auch ohne. Dieser Tipp zeigt wie.

Mit dem AWS Systems Manager Session Manager müssen Sie keine Bastion-Hosts mehr betreiben. Der Service reduziert den Angriffsvektor im Netzwerk auf ein Minimum – Sie benötigen keinerlei offene Ports für eingehende Verbindungen. Der Server muss nur eine verschlüsselte Verbindung an Port 443 zum AWS Systems Manager aufbauen können. Das ist wahlweise über das Internet oder entsprechende Amazon-Virtual-Private-Cloud-Endpunkte möglich. Im letzten Fall benötigt das gesamte Netzwerk nicht einmal Zugriff auf das Internet. Die Instanz bedarf nur einer Identity-and-Access-Management-Rolle, die die Berechtigung zur Nutzung des Session Managers enthält. Der Session Manager kümmert sich um die weiteren Schritte.



Der Zugriff auf eine Session ist bequem möglich über die AWS Management Console. Mit dem AWS Systems Manager Session Manager in der Hinterhand haben Sie im Notfall Zugriff auf Ihre Server. IAM erlaubt dabei eine fein abgestufte Zugriffskontrolle sowie die Erzwingung von Multi-Faktor-Authentifizierung. Die Protokolle der Sitzungen können Sie automatisch mitloggen und zum Beispiel in Amazon S3 archivieren.



Nach jedem Zugriff auf einen Server sollten Sie aber Maßnahmen treffen, dass ein solcher manueller Aufwand zukünftig nicht mehr nötig ist. Dazu erlaubt Amazon CloudWatch eine umfangreiche zentrale Überwachung von Logs und Metriken des Betriebssystems und seiner Anwendungen. AWS Systems Manager bietet mit zahlreichen Tools wie dem Patch Manager oder Run Command die kontrollierte und automatische Ausführung von Befehlen auf einem einzigen oder einer Flotte von Servern.