使用RDP堡壘主機訪問Linux的

Question

我需要建立一個AWS VPC與私人子網的多個服務器，Windows和RHEL

的混合堡壘主機很可能是在一個單獨的管理VPC的RDP服務器通過VPC對接鏈接

使用RDP盒通過Putty連接SSH服務器到Linux服務器是否是不好的做法，因爲我們不會將私鑰存儲在RDP堡壘上並使用Paegent或類似的SSH代理轉發？或者這是一個普通而可接受的用例？

Answer 1

在網絡的前端安裝基於RDP的堡壘主機很有意義。只是因爲有其他選項（特別是在混合環境中）其他選項非常少。事實上，你的選擇可以歸結爲VPN或VPN（兩者顯然更好）

堡壘主機提供了一個額外的安全層，用於縱深防禦安全實踐。它爲您提供了另一個機會來檢測並阻止對您網絡的攻擊。

RDP是一個相當好的安全協議，雖然有攻擊媒介進入它也有內置的方式來緩解它們一旦配置正確。

第一步將確保您配置了Network Level Authentication，這將降低通過在啓動之前要求進行身份驗證來直接攻擊RDP會話的能力。對於拒絕的會話需要更少的資源，使得DDOS攻擊不太成功。可以使用TLS配置NLA以提供相互認證。

RDP協議本身提供強制性強/ fips兼容加密選項，以及進一步的證書認證。

最重要的是，您可以使用IPSEC提供IP級別的安全性。

顯然強複雜的密碼（或甚至智能卡登錄）將是明智的，因爲它不在其他Windows機器相同的域中。定期對安全日誌進行審計，以瞭解正在提交的攻擊。 （理想情況下有一些自動異常報告）

最後，謹慎選擇適用於兩個網絡之間安全組的規則。考慮攻擊者進入堡壘的意義，然後他們需要進一步認證多少。他們從這一點可以看到什麼樣的攻擊面。理想情況下，應該是更多的RDP和SSH。把管理工具放在堡壘上，如果他們設法打入這個帝國，就會把鑰匙交給帝國。

Answer 2

您也可以考慮只使用私有子網，幷包含一個虛擬專用網關，該網關允許您通過IPsec VPN通道與本地通信。它比使用堡壘主機更安全，因爲您根本不會將您的網絡暴露在互聯網上。

關於這裏這個配置的詳細信息： http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario4.html

Answer 3

要回答這個問題，不，沒有不好的做法。這只是您可以採用的衆多做法之一。