To, co zrobiliśmy w pracy, sprawiło, że dostęp do serwerów był możliwy tylko za pomocą klucza prywatnego, bez haseł. Wyłączyliśmy również ping, aby każdy, kto szukał serwerów, byłby mniej skłonny do znalezienia naszego. Dodatkowo zablokowaliśmy port 22 z dowolnego miejsca spoza naszego sieciowego adresu IP, z wyjątkiem kilku pracowników IT, którzy mogą potrzebować dostępu z domu w weekendy. Wszystkie inne nieistotne porty zostały zablokowane.
Jeśli masz więcej niż jedną instancję EC2, polecam znaleźć sposób na zapewnienie, że komunikacja między serwerami jest bezpieczna. Na przykład nie chcesz, aby serwer B również został zhakowany, tylko dlatego, że serwer A został przejęty. Może istnieć sposób blokowania dostępu SSH z jednego serwera na drugi, ale nie zrobiłem tego osobiście.
To, co sprawia, że zabezpieczanie instancji EC2 jest trudniejsze niż w przypadku wewnętrznego serwera, to brak zapory firmowej. Zamiast tego polegasz wyłącznie na narzędziach dostarczanych przez Amazon. Kiedy nasze serwery były w domu, niektóre nie były nawet narażone na dostęp do Internetu i były dostępne tylko w sieci, ponieważ serwer nie miał po prostu publicznego adresu IP.
Możesz także użyć woluminu EBS jako partycji rozruchowej.Utrata instancji nie powoduje utraty danych. Można go nawet wyłączyć i przywrócić go do stanu, w którym został wyłączony. Woluminy EBS są bardziej niezawodne niż efemeryczne przechowywanie instancji, ale nie są tak trwałe jak S3. Na szczęście można wykonać przyrostowe migawki woluminu EBS do S3. – Ben