为什么Bastion Host更安全？

这是在最小化攻击面的问题。
使用堡垒主机，您仅暴露于开放互联网（例如任何负载均衡器）的端口22，该端口由一个相对可靠的软件支持。
它还是单一管理点：您定义一个安全组，用于标识允许联系堡垒的IP地址，并创建一个包含授权用户公钥的单个authorized_keys文件。当用户离开时，您会从每个文件中删除一行。
相比之下，如果您仅依靠安全组保护公开访问的主机，则需要在每个组上复制相同的设置（并根据需要删除/更新它们）。如果允许SSH访问这些主机，则必须在每次更改后分发authorized_keys文件。
虽然我不能推荐这样做，但至少在堡垒主机上为全球访问打开22号端口是合理的。如果您有很多用户或这些用户通过绑定的手机连接，则甚至可能是合理的。这是您永远不想对任意服务执行的操作。

您可以在这里找到使用Bastion Host的最佳实践: https://docs.aws.amazon.com/quickstart/latest/linux-bastion/architecture.html

为了允许入口，对堡垒主机的访问被限制在知名CIDR范围内。这通过将堡垒实例与安全组关联来实现。快速启动功能创建一个BastionSecurityGroup资源以实现此目的。

端口受限以仅允许对堡垒主机进行必要的访问。对于Linux堡垒主机，通常只允许SSH连接的TCP 22端口。

请注意，通过您的Bastion Host创建SSH隧道以连接给定资源是非常常见的：https://myopswork.com/transparent-ssh-tunnel-through-a-bastion-host-d1d864ddb9ae 希望这能帮到你！

让我以更简单的方式回答这个问题。
首先，需要了解堡垒机（有些人称之为跳板机）。
技巧在于只有一个服务器，即堡垒机，可以通过SSH从“互联网”访问（应该限制为特定源IP地址）。所有其他服务器只能通过堡垒机的SSH访问。
这种方法具有三个安全优点：
1. 您的系统只有一个入口点，而该入口点仅执行SSH。攻击此计算机的可能性很小。 2. 如果您的Web服务器、邮件服务器、FTP服务器等之一被黑客攻击，则攻击者无法从该服务器跳转到所有其他服务器。 3. 堡垒机仅执行SSH非常重要，以降低其成为安全风险的可能性。
希望这能帮助理解其他内容！