In diesem Post werde ich Sie durch das hohe Niveau der Sicherung eines normalen abgestufte Anwendung, die auf EC2. Zunächst werden die Grundlagen von dem, was EC2 bietet und dann kurz erörtern, wie diese verwendet werden kann in einem realen Szenario.

Sicherheits-Gruppen

Für Netzwerk-Sicherheit EC2 bietet ein Sicherheits-Gruppen-, Sicherheits-Gruppen sind im Wesentlichen ein-Firewalls, die den dynamischen Charakter von EC2. Mit Sicherheitsgruppen können Sie festlegen, welche eingehenden Netzwerkverkehr sollte für Ihr Beispiel.

  • Der Standard-Modus ist es, den Zugang, müssen Sie explizit öffnen Ports, damit für eingehende Netzwerkverkehr
  • Wenn keine Sicherheit Gruppe ist eine besondere Standardgruppe zugeordnet ist die Instanz. Diese Gruppe kann der gesamte Netzwerkverkehr von anderen Mitgliedern dieser Gruppe und Rückwürfe Verkehr von anderen IP-Adressen und Gruppen. Sie können die Einstellungen für diese Gruppe
  • Sie können mehrere Sicherheits-Gruppen zu einem AMI Beispiel.
  • Die Sicherheits-Gruppen für eine Instanz sind auf Start Zeit und kann nicht geändert werden. Sie können dynamisch ändern die Regeln in einem Sicherheits-Gruppe und die neuen Regeln durchgesetzt werden automatisch für alle laufenden und künftigen Beispiel, kann es zu einer kleinen Verzögerung abhängig von der Anzahl der Instanzen
  • Sie können den Zugriff entweder aus dem Namen der Sicherheit oder Quell-IP-Adressbereich. Sie können das Protokoll (TCP, UDP oder ICMP), einzelne Ports oder Port-Bereich zu öffnen
  • Sie können den Zugriff auf andere Benutzer Sicherheitsgruppen mit Benutzer-Paar-Gruppe
  • Die aktuelle API (Amazon EC2 am 2008-12-17) nicht unterstützt Anschluss reicht für die Sicherheit mittels Befehlszeilen-Tools oder Query-API, benötigen Sie SOAP-API
  • Ein Konto kann ein Maximum von 100 Sicherheitsgruppen
  • Sicherheits-Gruppen sind nur Vorschriften für den Zugang auf eine Einzel-oder Sammlung von Fällen, wenn zwei Instanzen sind in den gleichen Sicherheits-Gruppe nicht leisten, sie alle besonderen Zugang zwischen ihnen.
  • Eine Instanz läuft im promiscuous nicht SNiFF Verkehr, die für eine andere Instanz.
  • Eine laufende Instanz nicht ändern können Sicherheit Gruppe Zugang Vorschriften. Sie müssen Zugriffsschlüssel oder x 509 Schlüssel zu genehmigen ändern.
  • Im Beispiel können Sie die Sicherheit von Informationen über die Instanz Meta-Daten (curl http://169.254.169.254/1.0/meta-data/security-groups)

Schlüsselpaar

Amazon hält die Verwendung von Passwörtern und die normale Art und Weise den Zugriff auf eine Instanz mit SSH und einem privaten Schlüssel. Amazon EC2 bietet Einrichtungen zur Erzeugung der Schlüssel (2048 Bit RSA-Schlüssel), am Beispiel Start können Sie den Schlüssel zu der Instanz, und dieser wird Root-Zugriff. Normalerweise passt die AMI mit eigenen weniger privilegierter Benutzer von öffentlichen Schlüsseln und Root-Login

Absichern Ihre Bewerbung

Nun haben wir, die die Grundlagen, wie können wir diese, um eine verteilte Anwendung. Unten ist der normale Einsatz-Architektur für eine typische Anwendung tiered.
ec2

In der obigen Einführung haben wir 4-Sicherheits-Gruppen

Web-Security Group: Erlaubt es HTTP-(80) und HTTPS (443) an alle für den Zugriff auf die Anwendung

App Sicherheit Gruppe: Nur erlaubt den Zugriff von Instanzen laufen Web-Sicherheit-Fraktion zu den Häfen erforderlich, z. B. 8080

DB Sicherheit Gruppe: Nur erlaubt den Zugriff von Fällen läuft in ca. Sicherheit Gruppe auf geforderten Ports zB 3306

ssh-admin Sicherheit Gruppe: Nur ermöglicht den Zugriff auf SSH-Port 22 und als eine Frage der Politik ist der Zugang von spezifischen Host-Adresse oder Netzwerk-Organisation. Dies ermöglicht eine einfache Verwaltung von Berechtigungen.

Wie können Sie eine Instanz mit mehreren Gruppen, die Sicherheit von Web-Tier-Instanzen wird mit Web-und SSH-admin Sicherheit Gruppen, App-Server-Instanzen mit app und ssh-admin und schließlich Datenbankinstanzen mit DB-und SSH-Admin.

Sie werden sich nicht ändern müssen, Web, ca. oder DB Sicherheit Gruppen, Die Wolke Administrator erlauben oder zu widerrufen, Admin-Zugriff nur durch Hinzufügen oder Entfernen von Hosts aus ssh-Admin-Gruppe mit Port 22 zugreifen. Sie können Skripte schreiben, oder nutzen Sie GUI (Elasticfox, Amazon Admin-Konsole)-Tool


Andere Best Practices

  • Machen Sie sicher an Amazon Web Services finden Sie unter
  • Beschränken Sie SSH-Port (22) Zugriff auf Host-oder Netzwerk-Organisation
  • Sie können und werden durch amazon zu verwenden eine andere Firewall (zB iptables) in Verbindung mit Sicherheits-Gruppen auf eine Instanz zu beschränken, Inbound / Outbound-Verkehr und eine bessere Kontrolle
  • Dont öffnen einen Hafen unnötig
  • Haben gesonderten Antrag Administrator (SSH-Zugang zu den Instanzen) und Wolke-Administrator (Einrichtung von Sicherheits-und Schlüssel-Paar-Generation den Zugang zu Amazon EC2 Zertifikat und Access-Keys, aber keine ssh-Zugang zum Ausführen von Instanzen)
  • Deaktivieren Sie das Passwort auf der Grundlage Login (Set PasswordAuthentication nicht in der Datei / etc / ssh / sshd_config) siehe
  • Passen Sie die AMI mit Ihrem eigenen öffentlichen Schlüssel und Benutzer Root-Login. Wenn Sie benötigen Root-Login verwenden sudo siehe
  • Halten Sie Ihre AMI up-to-date mit Sicherheits-Patches und Fixes



Bei Jana, wir sind spezialisiert auf Cloud Computing und sind für Cloud-Implementierungen oder Cloud Beratung. Bitte kontaktieren Sie uns für weitere Informationen

Share and Enjoy:
  • Digg
  • Sphinn
  • del.icio.us
  • Facebook
  • Google
  • Live
  • MySpace
  • description
  • Technorati

Tags: