En este post voy a caminar a través del alto nivel de conseguir niveles normales de una aplicación que corre sobre EC2. En primer lugar voy a cubrir lo básico de lo que EC2 proporciona y, a continuación, discutir brevemente cómo se puede utilizar en un escenario de la vida real.

Grupos de seguridad

Red de seguridad EC2 proporciona un grupos de seguridad, grupos de seguridad son esencialmente cortafuegos entrante adecuado a la naturaleza dinámica de EC2. Uso de grupos de seguridad se puede especificar que las del tráfico de la red debe ser entregado a su instancia.

  • El modo por defecto es denegar el acceso, usted tiene que explícitamente los puertos abiertos para permitir la entrada del tráfico de la red
  • Si no hay ningún grupo de seguridad se especifica un grupo predeterminado está asignado a la instancia. Este grupo permite que todo el tráfico de red de los demás miembros de este grupo y los descartes en el tráfico de direcciones IP y otros grupos. Puede cambiar la configuración de este grupo
  • Puede asignar varios grupos de seguridad a un AMI instancia.
  • Los grupos de seguridad para un caso se establecen en tiempo de lanzamiento y no se puede cambiar. Usted puede modificar dinámicamente las reglas en un grupo de seguridad y las nuevas normas se aplican automáticamente para todos y el futuro funcionamiento ejemplo, puede haber un pequeño retraso en función del número de casos
  • Usted puede controlar el acceso, ya sea el nombre de grupos de seguridad o rango de direcciones IP de origen. Usted puede especificar el protocolo (TCP, UDP, ICMP o), los puertos o rango de puertos para abrir
  • Puede permitir el acceso a otros usuarios de grupos de seguridad utilizando el usuario grupo par
  • El actual API (Amazon EC2 en 2008-12-17) no soporta rangos de puertos para el grupo de seguridad usando herramientas de línea de comandos o la API de consultas, necesitará usar la API SOAP
  • Una cuenta puede tener un máximo de 100 grupos de seguridad
  • Grupos de seguridad sólo se aplican las normas de acceso a una única o la recogida de los casos, si dos casos son parte del mismo grupo de seguridad esto no les cualquier acceso especial entre ellos.
  • Un ejemplo se ejecuta en promiscua no puede oler todo el tráfico destinado a una instancia diferente.
  • Una instancia en ejecución no puede modificar las normas de acceso de seguridad del grupo. Usted necesita claves de acceso o clave X 509 para autorizar el cambio.
  • En el ejemplo, usted puede obtener el grupo de seguridad de la información ejemplo meta-datos (curl http://169.254.169.254/1.0/meta-data/security-groups)

Par de claves

Amazonas desalienta el uso de contraseñas y la forma normal de acceso es un ejemplo usando ssh y una clave privada. Amazon EC2 proporciona facilidades para generar la clave (clave de 2048 bits RSA), en caso de inicio puede adjuntar el nombre de la tecla a la instancia y esto permitirá acceso de root. Normalmente, esto se personalizar el AMI con su propio usuario menos privilegiado claves públicas y deshabilitar el acceso del superusuario

Garantizar su aplicación

Ahora que hemos cubierto lo básico, ¿cómo podemos usar estos para garantizar una aplicación distribuida. A continuación se muestra la arquitectura normal de despliegue para una aplicación típica niveles.
ec2

En el despliegue por encima de 4, hemos creado grupos de seguridad

Web de Seguridad de grupo: Permite http (80) y https (443) a toda persona a acceder a la aplicación

App. grupo de seguridad: Sólo permite el acceso de los casos se ejecuta en la web de grupo de seguridad necesarias, por ejemplo los puertos 8080

PP grupo de seguridad: Sólo permite el acceso de los casos se ejecuta en el grupo de aplicaciones de seguridad necesarias, por ejemplo los puertos 3306

ssh-admin grupo de seguridad: Sólo permite el acceso al puerto 22 de ssh y como cuestión de política se permite el acceso específico de la organización o dirección de host de red. Esto permite una fácil gestión de los permisos.

Como se puede iniciar una instancia con varios grupos de seguridad de nivel en la web casos se ejecutará con la web y ssh-admin grupos de seguridad, servidor de aplicaciones y casos de aplicaciones con ssh-administrador y, por último, instancias de base de datos con db y ssh-admin.

Usted no necesita cambiar la web, aplicación o base de datos grupos de seguridad, administrador de La nube permitirá revocar o acceso de administrador sólo por la adición o supresión de los ejércitos de ssh-admin grupo con acceso a puerto 22. Puede escribir scripts o uso de cualquier GUI (Elasticfox, Amazonas consola de administración) herramienta


Las mejores prácticas de otros

  • Hacer segura las solicitudes de servicios Web de Amazon ver
  • Restringir el puerto ssh (22) el acceso a la red u organización de acogida
  • Se puede y se alienta el uso de un amazónica otros firewall (por ejemplo, iptables), en relación con los grupos de seguridad en un ejemplo para restringir de entrada / salida de tráfico y de control han fina
  • No abra ningún puerto innecesariamente
  • Han separado el administrador de la aplicación (acceso ssh a los casos) y la nube de administrador (la creación de grupos de seguridad y de los principales pares de la generación con acceso a Amazon EC2 certificado y claves de acceso ssh, pero no el acceso a las instancias en ejecución)
  • Deshabilitar la contraseña de acceso basada en (PasswordAuthentication no establecidos en / etc / ssh / sshd_config) ver
  • Personalizar la AMI con su propio usuario y deshabilitar claves públicas raíz de acceso. Si necesita acceso de utilizar sudo ver
  • Mantenga su AMI actualizados con parches de seguridad y correcciones



En Jana, nos hemos especializado en Informática y las nubes están disponibles para aplicaciones de niebla o nube de servicios de asesoramiento. Por favor, contacte con nosotros para obtener más detalles

Comparta y goce:
  • Digg
  • Sphinn
  • del.icio.us
  • Facebook
  • Google
  • Live
  • MySpace
  • description
  • Technorati

Etiquetas: