Um host NAT deve ser separado de um host Bastion

1

Tenha uma rede privada com servidores que requeiram acesso SSH. Como as instâncias estão em uma sub-rede privada, elas não podem ser acessadas diretamente via SSH e exigem que um host público do Bastion seja acessado.

Workstation -> via SSH -> Bastion -> via SSH Forwarding -> private subnet instnce

Nós usamos um host NAT como um gateway público para a rede privada.

User -> via HTTP -> NAT -> via private networking -> private subnet instance

Quais são os benefícios de manter o Bastion & Hosts NAT separados? Quais são os benefícios de combiná-los?

    
por csi 01.10.2014 / 18:39

1 resposta

0

De um ponto de vista técnico, você pode usar seu NAT como seu host de bastiões, mas, do ponto de vista arquitetural, você nunca deve fazer isso . E aqui está o porquê:

Seu host bastion é o ponto de entrada para sua infraestrutura interna e seu NAT geralmente conecta serviços importantes como seu banco de dados à Internet. Então, ambos devem ser protegidos, tanto quanto possível.

Seu host de bastiões e seu NAT têm papéis opostos:

  • O host de bastiões deve permitir iniciar conexões do Internet (a partir de um intervalo de IP limitado) e negar todo o tráfego a internet
  • O NAT deve negar todo o tráfego inicial da Internet e permitir o início do tráfego da rede interna para a internet

Além disso, o host bastion é apenas um servidor de gerenciamento, portanto, uma instância barata é geralmente suficiente, enquanto o NAT deve ser capaz de rotear uma grande quantidade de tráfego.

Não existe uma razão racional pela qual você deve usar seu NAT como seu host bastion, exceto que você não se importa com segurança; -)

    
por 08.03.2018 / 13:17