Tôi vừa cài đặt một AMI Linux fedora trên amazon EC2, từ bộ sưu tập amazon. Tôi dự định kết nối nó với bộ nhớ EBS. Giả sử tôi đã không làm gì hơn các bước cơ bản nhất, không có thay đổi mật khẩu, không có gì thêm đã được thực hiện ở giai đoạn này khác hơn là ở trên.các bước để bảo vệ amazon EC2 + EBS
Bây giờ, từ thời điểm này, tôi nên thực hiện các bước nào để ngăn chặn tin tặc và bảo vệ cá thể/EBS của mình?
Trên thực tế, không có gì khác biệt ở đây để bảo vệ bất kỳ máy chủ Linux nào khác.
Tại một số thời điểm bạn cần tạo hình ảnh của riêng mình (AMI). Lý do để thực hiện điều này là các thay đổi bạn sẽ thực hiện trong một AMI hiện có sẽ bị mất nếu cá thể của bạn đi xuống (có thể dễ dàng xảy ra vì Amazon không đảm bảo rằng một cá thể sẽ vẫn hoạt động vô thời hạn). Ngay cả khi bạn sử dụng EBS để lưu trữ dữ liệu, bạn sẽ cần phải thực hiện các tác vụ tương tự như cấu hình hệ điều hành mỗi khi cá thể đó đi xuống. Bạn cũng có thể muốn dừng và khởi động lại cá thể của mình trong một khoảng thời gian nhất định hoặc trong trường hợp lưu lượng truy cập cao nhất bắt đầu nhiều hơn một trong số chúng.
Bạn có thể đọc một số hướng dẫn để tạo hình ảnh của mình trong documentation. Về bảo mật, bạn cần phải cẩn thận không để lộ các tệp và khóa chứng nhận của mình. Nếu bạn không làm điều này, thì một cracker có thể sử dụng chúng để bắt đầu các phiên bản mới sẽ bị tính phí. Rất may quá trình này rất an toàn và bạn chỉ nên chú ý đến một vài điểm:
Những gì chúng tôi đã làm tại nơi làm việc là chúng tôi đảm bảo rằng máy chủ chỉ có thể truy cập bằng khóa riêng, không có mật khẩu. Chúng tôi cũng đã vô hiệu hóa ping để bất kỳ ai có thể ping vào máy chủ sẽ ít có khả năng tìm thấy chúng tôi hơn. Ngoài ra, chúng tôi đã chặn cổng 22 từ bất kỳ thứ gì bên ngoài mạng IP của chúng tôi, ngoại trừ một vài nhân viên CNTT có thể cần quyền truy cập từ nhà vào cuối tuần. Tất cả các cổng không cần thiết khác đã bị chặn.
Nếu bạn có nhiều hơn một cá thể EC2, tôi khuyên bạn nên tìm cách để đảm bảo sự liên lạc giữa các máy chủ được bảo mật. Ví dụ, bạn không muốn máy chủ B bị tấn công quá vì máy chủ A bị xâm phạm. Có thể có một cách để chặn truy cập SSH từ máy chủ này sang máy chủ khác, nhưng tôi chưa đích thân thực hiện việc này.
Điều gì làm cho trường hợp EC2 trở nên khó khăn hơn máy chủ nội bộ là thiếu tường lửa công ty của bạn. Thay vào đó, bạn chỉ dựa vào các công cụ mà Amazon cung cấp cho bạn. Khi máy chủ của chúng tôi ở trong nhà, một số máy chủ thậm chí không được tiếp xúc với Internet và chỉ có thể truy cập được trong mạng vì máy chủ không có địa chỉ IP công khai.
Cá nhân tôi nghĩ với các nhóm bảo mật (một cho mỗi máy chủ nếu bạn muốn), bạn có thể thiết lập các phân đoạn mạng ảo nhanh hơn nhiều so với các VLAN thủ công trong DMZ cục bộ của bạn. Do đó, tôi không đồng ý rằng tường lửa "đơn giản" và mạng LAN hoàn toàn đáng tin cậy tốt hơn cách tiếp cận Amazon (tất nhiên bạn có thể phân đoạn mạng của riêng mình, nó chỉ có thể liên quan đến số giờ làm việc và nhóm họp với nhóm cơ sở hạ tầng của bạn:) – eckes
Bạn cũng có thể sử dụng phân vùng EBS làm phân vùng khởi động.Bây giờ mất một trường hợp không gây ra cho bạn bất kỳ mất dữ liệu. Bạn thậm chí có thể tắt nguồn, và mang nó trở lại trạng thái chính xác mà nó được cấp nguồn xuống. Khối lượng EBS đáng tin cậy hơn lưu trữ tạm thời của một thể hiện nhưng không bền bằng S3. May mắn thay, bạn có thể chụp ảnh gia tăng của một khối lượng EBS đến S3. – Ben