Le bastionnage (pas sûr que le terme existe) consiste à créer un bastion pour accéder à vos ressources (informatiques). On les utiliser sur des ressources sensibles par leur positionnement (ex : production), par leur nature (ex : outil de gestion de droits), leur contenu, etc.

Ainsi, personne ne peut (en théorie) accéder à vos ressources sans montrer patte blanche et sans passer par ce bastion, qui peut surveiller et mettre en historique les actions effectuées, filtrer les éléments indésirables, gérer des droits d’accès différenciés, etc.

AWS

• Création d’un seul VPC ayant 2 sous-réseaux
  • Un premier subnet « privé » routant tout le trafic de son CIDR en local, tout le reste est dirigé vers une Nat Gateway créée dans le subnet suivant (public) ;
  • Un second subnet « public » routant tout le trafic de son CIDR en local, tout le reste est dirigé vers une Internet Gateway ;
  • Enfin une route supplémentaire, associée à aucun des subnets mais directement au VPC, ne route que le trafic local.
• Création de 3 Security Groups
  • Le 1er permet le trafic sortant HTTP/HTTPS (pour permettre le SSH via l’agent SSM), et n’autorise rien en entrée ;
  • Le 2e permet le trafic entrant sur HTTPS uniquement et autorise tout en sortie ;
  • Le 3e permet tout le trafic en sortie (sans restriction), ainsi que tout le trafic en entrée mais uniquement quand la source est… lui-même (inutile) ?
• Création d’un Endpoint

Sources

• https://aws.amazon.com/fr/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/
• https://docs.aws.amazon.com/quickstart/latest/linux-bastion/architecture.html
• https://www.g2techgroup.com/new-aws-management-tools-blog/
• https://easycloudsupport.zendesk.com/hc/en-us/articles/360001941591-AWS-Security-Bastion-Host-NAT-instances-and-VPC-Peering