Theo đại diện CMC Telecom, khi các doanh nghiệp triển khai các dự án chuyển đổi số trên AWS thì việc đảm bảo bảo mật và kết nối an toàn vào các tài nguyên trong môi trường mạng riêng ảo từ Internet là một trong những vấn đề ưu tiên hàng đầu. Thông thường, chúng ta sẽ phải kết nối với Bastion Host có địa chỉ IP public qua một Internet Gateway (IGW) và từ Bastion Host tiếp tục truy cập vào các tài nguyên trong private subnet bằng SSH hoặc RDP.

Vì quá trình kết nối vào private subnet yêu cầu nhiều tài nguyên và các bước thủ công nên AWS đã cho ra mắt dịch vụ EIC Endpoint giúp khách hàng truy cập vào các tài nguyên trong private subnet mà không cần phải qua bất kỳ ứng dụng trung gian nào. Ngoài ra, EIC Endpoint còn giúp doanh nghiệp tối ưu hóa đầu tư bảo mật, yên tâm phát huy khả năng sáng tạo, từ đó có thể phản ứng nhanh chóng trước mọi mối đe dọa và luôn được bảo vệ an toàn. 

Trong bài viết dưới đây, chuyên gia CMC Telecom cung cấp cho doanh nghiệp các thông tin về dịch vụ này, cùng cách thiết lập sử dụng Amazon EC2 Instance Connect (EIC) Endpoint để truy cập vào các tài nguyên nằm trong private subnet (trong bài viết này là EC2 Instance).

Kết nối vào EC2 instance trong private subnet thông qua Bastion Host

Tổng quan về Amazon EIC Endpoint

EIC Endpoint là một dịch vụ cho phép truy cập an toàn vào các EC2 instances trong private subnet mà không cần đến Internet Gateway, Bastion Host hay địa chỉ IP public. EIC Endpoint hoạt động với Bảng điều khiển AWS, AWS CLI và các công cụ phổ biến khác như PuTTY và OpenSSH.

Người dùng kết nối vào EC2 instance trong private subnet qua EIC Endpoint

Theo chuyên gia CMC Telecom, EIC Endpoint mang lại cho doanh nghiệp một số lợi ích nhất định khi sử dụng. Đầu tiên, EIC Endpoint không yêu cầu VPC của doanh nghiệp phải có kết nối Internet bằng việc sử dụng dịch vụ Internet Gateway hoặc NAT Gateway. Thứ hai, doanh nghiệp không cần cài đặt thêm bất cứ ứng dụng nào trên EC2 instance khi sử dụng EIC Endpoint để thực hiện việc truy cập. Và cuối cùng, doanh nghiệp có thể sử dụng IAM và Security Group để kiểm soát quyền truy cập.

Nâng cao bảo mật

Ngoài những lợi ích trên, EIC Endpoint còn giúp doanh nghiệp tăng cường bảo mật bằng cách kết hợp xác thực và ủy quyền dựa trên danh tính với các điều khiển theo chuẩn mạng truyền thống, cung cấp kiểm soát truy cập chi tiết, logging, giám sát và phòng thủ đa lớp. 

Cụ thể, EIC Endpoint kiểm soát truy cập dựa trên danh tính: các IAM policies xác định ai có thể tạo và truy cập EIC Endpoint, thực thi các vấn đề về xác thực (authentication) và ủy quyền (authorization). Ngoài ra, dịch vụ này còn giúp doanh nghiệp kiểm soát theo chuẩn mạng: các Security Groups liên kết với các tài nguyên trong VPC được sử dụng để cho phép hoặc từ chối quyền kết nối. Không chỉ thế, EIC Endpoint có thể tách biệt các đặc quyền: sự tách biệt giữa control-plane và data-plane đảm bảo rằng quản trị viên - người dùng có đặc quyền riêng biệt trong việc tạo và sử dụng endpoint. Cuối cùng là auditing và logging. Các APIs khi được gọi đến EIC Endpoint, tất cả đều được ghi lại trong AWS CloudTrail. Điều này giúp doanh nghiệp thấy một cái nhìn tổng quan về các hoạt động của endpoint và kiểm tra các vấn đề về bảo mật hiệu quả hơn.

Cách tạo và sử dụng EIC Endpoint để kết nối vào EC2 Instance trong Private Subnet

Mỗi VPC chỉ có một EIC Endpoint. Để tạo hay điều chỉnh một endpoint và kết nối vào EC2 instance, doanh nghiệp phải có các quyền IAM, và các Security Group liên kết với EC2 instance phải có quyền truy cập. Doanh nghiệp có thể tham khảo cách cấu hình Security Groups và cách tạo các quyền IAM trong tài liệu của AWS.

Sau khi đã tạo xong các Security Groups và các quyền IAM cần thiết, doanh nghiệp có thể làm theo các bước sau đây để tạo kết nối đến EC2 instance thông qua EIC Endpoint:

Bước 1: Tạo EIC Endpoint: vào giao diện VPC, sau đó chọn Endpoints và chọn Create endpoint.

Tiếp theo, ở trang Create endpoint, cần điền tên cho endpoint ở phần Name tag, chọn EC2 Instance Connect Endpoint.

Sau đó chọn VPC, chọn Security groups đã tạo trước đó, chọn Subnet tạo EIC Endpoint, rồi ấn chọn Create endpoint.

Bước 2: Kết nối vào EC2 instance: vào giao diện EC2, chọn Instances, nhấn vào instance muốn kết nối, chọn Connect.

Sau đó, chọn Connect using EC2 Instance Connect Endpoint, ở mục EC2 Instance Connect Endpoint chọn endpoint vừa tạo, rồi chọn Connect.

Sau đó chúng ta sẽ được chuyển đến trang kết nối với EC2 instance.

“Chúng tôi đánh giá rằng Amazon EC2 Instance Connect Endpoint cung cấp một giải pháp kết nối an toàn đến các tài nguyên và dịch vụ được đặt trong các private subnet bằng SSH hoặc RDP mà không cần sử dụng đến Internet Gateway, địa chỉ IP public và Bastion Host. Bằng cách cấu hình một EIC Endpoint cho VPC, doanh nghiệp có thể kết nối một cách an toàn bằng các công cụ sẵn có (PuTTY, OpenSSH, …) hoặc Console/AWS CLI. Chúng tôi hy vọng rằng bài viết hữu ích cho các doanh nghiệp”, đại diện CMC Telecom bày tỏ. 

CMC Telecom hiện là đối tác dịch vụ cấp cao của AWS tại Việt Nam. Đầu năm 2023, doanh nghiệp đã nhận được 2 giải thưởng danh giá của Asian Telecom Awards 2023 về “Cloud sáng tạo của năm” và “Hạ tầng sáng tạo của năm”.

Thúy Ngà