Reemplazando el acceso SSH para reducir los gastos generales de administración y seguridad con AWS Systems Manager

En muchas empresas corporativas, el acceso de shell interactivo a la nube o entornos de centros de datos es una necesidad. Debe ser compatible de manera segura y auditable, a menudo programática o mediante secuencias de comandos, y con fuertes controles de acceso. Como se discutió en una publicación anterior de Jeff Barr, AWS Systems Manager Session Manager es la herramienta perfecta para cumplir con estos requisitos commerciales.

Esta publicación describe cómo VR Beneficios, una empresa de beneficios con sede en Brasil con más de 40 años de experiencia en la industria, reemplazó todo su acceso SSH con el acceso seguro de shell interactivo proporcionado por Session Manager.

Visión general

El acceso de shell interactivo a los recursos tradicionales basados en servidor a menudo viene con una alta administración y sobrecarga para mantener la infraestructura segura. La razón es que las cuentas de usuario, las contraseñas, las claves SSH y los puertos de red entrantes deben mantenerse para proporcionar este nivel de acceso. A menudo, también existe el costo de soportar infraestructura adicional para servidores bastión, que es una forma común de crear un límite de seguridad entre recursos menos seguros y más seguros.

La conversación tiende a volverse más compleja cuando se necesitan requisitos funcionales o de seguridad adicionales, debido a que este tipo de funcionalidad generalmente no es compatible de forma nativa. Estos requisitos incluyen auditabilidad, control de acceso, inicio de sesión único o, -como se ve a menudo con los clientes de AWS, – acceso programático a los recursos para aprovechar las secuencias de comandos o la automatización.

Solución

Después de evaluar varias opciones, VR Beneficios decidió utilizar Session Manager porque resolvió los problemas comerciales descritos anteriormente, incluido el acceso continuo y programático. La última razón fue particularmente importante, porque la compañía necesita administrar recursos en múltiples cuentas de AWS y porque reduce la probabilidad de error humano.

Hay beneficios adicionales de seguridad con AWS Systems Manager, incluyendo:

• Capacidades accionables con Amazon CloudWatch Logs flujo con sesión de grabación
• El registro de salida de comando opcional a Amazon S3

VR Beneficios también está eliminando la sobrecarga de administración de red, lo que incluye eliminar la necesidad de abrir puertos de red entrantes. En las arquitecturas tradicionales, estos puertos deben mantenerse en varias capas, incluidos los cortafuegos de red o, en algunos casos, el acceso público directo para sistemas conectados directamente a Internet. Session Manager nos permite eliminar la necesidad de que nuestras instancias administradas sean de acceso público. Las instancias administradas que se administran con Session Manager también pueden usar AWS PrivateLink, que restringe el tráfico entre las instancias administradas de EC2 y AWS Systems Manager a la red de Amazon.

Los beneficios adicionales que VR Beneficios planea usar en el futuro incluyen limitar el acceso a la instancia administrada a través de etiquetas de recursos e IDs de instancia, la capacidad «Run As» para restringir el nivel de acceso que los usuarios pueden asumir cuando usan Session Manager, y también usan archivos basados en SCP transferencias, según sea necesario.

Arquitectura

VR Beneficios utiliza el flujo de trabajo que se muestra en el siguiente diagrama para administrar instancias locales y EC2 con Session Manager. Consiste en varias cuentas de AWS para administrar los entornos de desarrollo, prueba y producción, junto con un entorno local.

Hay una cuenta de administración centralizada donde viven todas las cuentas de administrador. Esta configuración permite que todos los usuarios de administración estén en una sola cuenta, junto con la capacidad de usar políticas de IAM personalizadas para incluir el acceso a S3 y CloudWatch Logs.

VR Beneficios completó la implementación de Systems Manager para administrar tanto AWS Cloud como los recursos locales, incluidos cientos de recursos administrados por Systems Manager. Como parte del despliegue, todas las VPC se configuraron con puntos finales SSM para garantizar que todo el tráfico permanezca local dentro de la infraestructura de AWS.

Escenarios de Interrupción/Reparación

VR Beneficios utiliza acceso interactivo de shell principalmente en escenarios de interrupción / reparación cuando la automatización DevOps no es una opción. El siguiente escenario muestra cómo sucedería esto:

1) Vaya a la CLI de AWS y conéctese a las instancias usando el Complemento Session Manager
2) Siempre realice conexiones desde la cuenta de Administración utilizando el rol de las otras cuentas para cambiar. Ejemplos de acceso:

• aws ssm start-session –target “i-XXXXXXXXXXXX” –profile vrdev
• aws ssm start-session –target “i-XXXXXXXXXXXX ” –profile vrtest
• aws ssm start-session –target “i-XXXXXXXXXXXX ” –profile vrprd
• aws ssm start-session –target “i-XXXXXXXXXXXX ” –profile vrbeneficios

3) Debido a que la capacidad de auditoría de Session Manager es un gran beneficio, también hay revisiones periódicas de la actividad capturada a través de CloudWatch Logs y el bucket S3 configurado para la salida del comando

Administración remota de la infraestructura

Aunque esta publicación se centra en el uso de Session Manager por parte de la empresa, VR Beneficios también usa Systems Manager para administrar su infraestructura de forma remota. Esto incluye el uso del comando Ejecutar para implementar el agente CloudWatch en todos los entornos para mantener actualizados todos los agentes basados en AWS y también recopilar datos de inventario.

Resumen

Esta solución descrita en esta publicación usando Session Manager es solo una de las muchas formas en que VR Beneficios aprovecha los servicios de administración y gobierno de AWS. Con estas herramientas, la compañía mantiene el control sobre los costos, el cumplimiento y la seguridad sin afectar su ritmo de innovación y eficiencia operativa.

Acerca del Autores

Cesar Soares es un administrador de infraestructura de nube y DevOps en VR Beneficios, con más de 17 años de experiencia en el campo de la tecnología. Trabaja activamente con AWS y AWS Premier Partners para continuar impulsando el ritmo de la innovación. Al mismo tiempo, busca aumentar la eficiencia operativa y la seguridad en múltiples entornos, incluidas las operaciones en alta mar y cercanas a la costa, y la plataforma AWS. Cesar es activo en la comunidad tecnológica y puede ser contactado en https://www.linkedin.com/in/alexandrecesarsoares

Hugo Carvalho es un Senior Solutions Architect en AWS, enfocado en el segmento de Startup, ayudando a las startups a tener productos en la nube sostenibles y altamente escalables. Con más de 7 años de experiencia en el desarrollo y gestión de equipos ágiles, Hugo ha trabajado en varias empresas en la definición, implementación, implantación y evolución de diversas soluciones tecnológicas para diferentes segmentos del mercado.