Gestiona Instancias con AWS Systems Manager Fleet Manager

Acceso a las instancias para tareas administrativas

No se recomienda exponer los puertos de administración de sus instancias (RDP 3389 y SSH 22) hacia internet, ya que adversarios podrían intentar aprovechar una vulnerabilidad para ingresar y tomar control, o podrían lograr acceder a través de ataques de fuerza bruta.

Anteriormente se recomendaba el uso de bastiones, que eran instancias que contaban con hardening en sus configuraciones y multiples capacidades de seguridad para reducir el riesgo de tener dicha instancia expuesta. Una buena práctica del uso de bastiones siempre fue limitar el acceso desde ciertas IPs en particular cuando sea posible. El uso de bastiones es preferible a otorgar acceso directo de administración a las instancias abriendo sus puertos RDP/SSH, sin embargo, actualmente hay una mejor alternativa al uso de bastiones que es el uso de AWS Systems Manager.

AWS Systems Manager Fleet Manager y Session Manager

Es recomendable utilizar AWS Systems Manager (SSM) Session Manager para gestionar sus instancias en lugar de acceder directamente vía SSH ya que no requiere abrir puertos en los Security Groups (la conexión es saliente desde la instancia hacia el endpoint de Systems Manager, iniciada por el agente de SSM), permite configurar MFA en el acceso a la consola (ya sea sobre el usuario de AWS IAM Identity Center (sucesor de AWS Single Sign-On) o el IAM user), y cuenta con auditoría de comandos.

En instancias Windows es posible utilizar AWS Systems Manager Fleet Manager, que entre sus multiples capacidades de gestión de instancias permite iniciar conexiones de Remote Desktop (RDP) hacia las instancias sin necesidad de abrir el puerto 3389, ya que la conexión también es iniciada desde el agente. Gracias a su integración con AWS IAM Identity Center (sucesor de AWS Single Sign-On) es posible loguearse a las instancias Windows con un click, sin tener que ingresar credenciales adicionales.

https://aws.amazon.com/es/about-aws/whats-new/2021/11/aws-systems-manager-console-windows-instances-security

AWS Systems Manager Session Manager

AWS Systems Manager Session Manager