Właśnie zainstalowałem Fedora linux AMI na Amazon EC2, z kolekcji Amazon. Mam zamiar podłączyć go do pamięci EBS. Zakładając, że zrobiłem nic więcej, niż tylko podstawowe kroki, żadne hasło nie zostało zmienione, na tym etapie nie zrobiono nic więcej poza powyższym.kroki do zabezpieczenia Amazon EC2 + EBS
Teraz, od tego momentu, jakie kroki należy podjąć, aby zatrzymać hakerów i zabezpieczyć moją instancję/EBS?
Właściwie nie ma tu niczego innego niż zabezpieczenie innego serwera linuksowego.
W pewnym momencie konieczne jest utworzenie własnego obrazu (AMI). Powodem tego jest to, że zmiany, które wprowadzisz w istniejącym AMI, zostaną utracone, jeśli twoja instancja przestanie działać (co może się łatwo zdarzyć, ponieważ Amazon nie gwarantuje, że instancja pozostanie aktywna przez czas nieokreślony). Nawet jeśli korzystasz z EBS do przechowywania danych, będziesz musiał wykonać te same przyziemne zadania konfigurowania systemu operacyjnego za każdym razem, gdy instancja ulegnie awarii. Możesz również zatrzymać i ponownie uruchomić instancję w określonych okresach lub w przypadku największego ruchu rozpocznij więcej niż jeden z nich.
Możesz przeczytać instrukcje tworzenia obrazu w numerze documentation. Jeśli chodzi o bezpieczeństwo, należy uważać, aby nie ujawnić swoich plików certyfikatów i kluczy. Jeśli tego nie zrobisz, cracker może użyć ich do uruchomienia nowych instancji, za które zostanie naliczona opłata. Na szczęście proces jest bardzo bezpieczny i powinieneś zwrócić uwagę tylko w kilku punktach:
To, co zrobiliśmy w pracy, sprawiło, że dostęp do serwerów był możliwy tylko za pomocą klucza prywatnego, bez haseł. Wyłączyliśmy również ping, aby każdy, kto szukał serwerów, byłby mniej skłonny do znalezienia naszego. Dodatkowo zablokowaliśmy port 22 z dowolnego miejsca spoza naszego sieciowego adresu IP, z wyjątkiem kilku pracowników IT, którzy mogą potrzebować dostępu z domu w weekendy. Wszystkie inne nieistotne porty zostały zablokowane.
Jeśli masz więcej niż jedną instancję EC2, polecam znaleźć sposób na zapewnienie, że komunikacja między serwerami jest bezpieczna. Na przykład nie chcesz, aby serwer B również został zhakowany, tylko dlatego, że serwer A został przejęty. Może istnieć sposób blokowania dostępu SSH z jednego serwera na drugi, ale nie zrobiłem tego osobiście.
To, co sprawia, że zabezpieczanie instancji EC2 jest trudniejsze niż w przypadku wewnętrznego serwera, to brak zapory firmowej. Zamiast tego polegasz wyłącznie na narzędziach dostarczanych przez Amazon. Kiedy nasze serwery były w domu, niektóre nie były nawet narażone na dostęp do Internetu i były dostępne tylko w sieci, ponieważ serwer nie miał po prostu publicznego adresu IP.
Osobiście uważam, że dzięki grupom bezpieczeństwa (po jednym dla każdego serwera) można znacznie szybciej skonfigurować wirtualne segmenty sieci w porównaniu do tworzenia wirtualnych sieci VLAN w lokalnej strefie DMZ. Dlatego nie zgadzam się, że "prosta" zapora obwodowa i w pełni zaufana sieć LAN jest lepsza niż podejście Amazon (oczywiście możesz również posegmentować swoją własną sieć, może to wymagać wielu godzin roboczych i spotkań zespołu z zespołem infrastruktury:) – eckes
Możesz także użyć woluminu EBS jako partycji rozruchowej.Utrata instancji nie powoduje utraty danych. Można go nawet wyłączyć i przywrócić go do stanu, w którym został wyłączony. Woluminy EBS są bardziej niezawodne niż efemeryczne przechowywanie instancji, ale nie są tak trwałe jak S3. Na szczęście można wykonać przyrostowe migawki woluminu EBS do S3. – Ben