Dans ce post je vais vous guider à travers le haut niveau d'assurer un fonctionnement normal de l'application échelonnée sur EC2. D'abord, je vais les bases de ce que prévoit EC2 et ensuite brièvement comment ceci peut être utilisé dans un véritable scénario de vie.

Groupes de sécurité

EC2 pour la sécurité des réseaux constitue un des groupes de sécurité, des groupes de sécurité sont essentiellement l'arrivée de pare-feu adapté à la nature dynamique de l'EC2. Utilisation des groupes de sécurité qui vous permet de spécifier le trafic réseau entrant devrait être livré à votre instance.

  • Le mode par défaut est de refuser l'accès, vous devez explicitement les ports ouverts pour permettre le trafic réseau entrant
  • Si aucun groupe de sécurité est spécifié un groupe par défaut est affecté à l'instance. Ce groupe permet à tout le trafic réseau à partir d'autres membres de ce groupe et les déchets de la circulation à partir d'autres adresses IP et les groupes. Vous pouvez modifier les paramètres de ce groupe
  • Vous pouvez assigner plusieurs groupes de sécurité à l'AMI exemple.
  • Les groupes de sécurité pour une instance sont fixés au lancement et ne peut pas être changé. Vous pouvez modifier dynamiquement les règles dans un groupe de sécurité et les nouvelles règles sont appliquées automatiquement à tous les cours d'exécution et l'avenir exemple, il y mai être un petit délai en fonction du nombre de cas
  • Vous pouvez contrôler l'accès, soit à partir du nom des groupes de sécurité ou plage d'adresses IP source. Vous pouvez spécifier le protocole (TCP, UDP ou ICMP), les ports ou les ports à ouvrir
  • Vous pouvez autoriser l'accès à d'autres utilisateurs en utilisant des groupes de sécurité des utilisateurs du groupe paire
  • L'actuel API (Amazon EC2 le 2008-12-17) ne supporte pas le port des fourchettes pour groupe de sécurité en utilisant des outils de ligne de commande ou API de requête, vous devrez utiliser l'API SOAP
  • Un compte peut avoir un maximum de 100 groupes de sécurité
  • Des groupes de sécurité ne sont que des règles d'accès appliquées à un seul ou d'une collection de cas, si les deux cas, font partie du même groupe de sécurité ce n'est pas leur offrir toute l'accès entre eux.
  • Un exemple en exécutant la promiscuité ne peut pas renifler le trafic destiné à une autre instance.
  • Une instance ne peut pas modifier des règles d'accès au groupe de sécurité. Vous avez besoin de clés d'accès ou de 509 X clé d'autoriser le changement.
  • Dans l'exemple vous pouvez obtenir le groupe de sécurité de l'information de l'instance de méta-données (curl http://169.254.169.254/1.0/meta-data/security-groups)

Paire de clés

Amazon décourage l'utilisation de mots de passe et la manière habituelle pour accéder à une instance en utilisant ssh et une clé privée. Amazon EC2 fournit des installations pour générer la clé (clé RSA de 2048 bits), à l'exemple de démarrage, vous pouvez joindre le nom de la clé de l'instance, ce qui permettra un accès root. Normalement vous devriez personnaliser l'AMI avec votre propre moins utilisateur privilégié des clés publiques et de désactiver login root

Sécurisation de votre application

Maintenant que nous avons couvert les bases comment pouvons-nous utiliser pour sécuriser une application distribuée. Voici l'architecture de déploiement normal pour une application typique niveaux.
ec2

Dans ce déploiement, nous avons créé 4 groupes de sécurité

Web-groupe de sécurité: Permet http (80) et https (443) à chacun d'accéder à l'application

App groupe de sécurité: permet l'accès seulement à partir de cas, fonctionne en groupe de sécurité sur le web exige des ports, par exemple 8080

PB groupe de sécurité: permet l'accès seulement à partir de cas en cours d'exécution app groupe de sécurité sur les ports requis, par exemple 3306

ssh-admin groupe de sécurité: permet seulement l'accès à ssh et le port 22 comme une question de politique de l'accès est autorisé à partir de l'adresse hôte ou l'organisation du réseau. Ceci facilite la gestion des permissions.

Comme vous pouvez démarrer une instance avec plusieurs groupes de sécurité sur le Web les instances de niveau se déroulera avec le web et ssh-admin des groupes de sécurité, app instances de serveur avec ssh et app-admin, et enfin avec les instances de base de données db et ssh-admin.

Vous n'aurez pas besoin de changer web, app db ou des groupes de sécurité, Le nuage permettra administrateur ou de révoquer l'accès par admin juste en ajoutant ou supprimant des hôtes de ssh-admin groupe avec port d'accès 22. Vous pouvez écrire des scripts ou d'utiliser un GUI (Elasticfox, Amazon admin console) outil


Autres meilleures pratiques

  • Faire des demandes de garantir Amazon Web Services voir
  • Restreindre ssh port (22) l'accès à l'hôte ou l'organisation du réseau
  • Vous pouvez et sont encouragés par amazon d'utiliser un autre pare-feu (iptables par exemple), en liaison avec les groupes de sécurité sur une instance de restreindre entrant / sortant de trafic et ont un contrôle
  • Ne pas ouvrir n'importe quel port inutilement
  • Avez-application séparée administrateur (accès par SSH à des cas) et les nuages administrateur (création de groupes de sécurité et de paire de clefs génération d'accéder à amazon EC2 certificat et touches d'accès ssh, mais pas l'accès à la gestion des cas)
  • Désactiver mot de passe de connexion (série PasswordAuthentication pas dans le fichier / etc / ssh / sshd_config) voir
  • Personnaliser l'AMI avec vos propres clés publiques et les utilisateurs de désactiver l'accès root. Si vous avez besoin d'utiliser sudo login root voir
  • Gardez votre AMI mise à jour de sécurité et les correctifs



À Jana, nous nous sommes spécialisés dans Cloud Computing et Cloud sont disponibles pour la mise en œuvre des services de conseil ou de nuages. S'il vous plaît nous contacter pour plus de détails

Share and Enjoy:
  • Digg
  • Sphinn
  • del.icio.us
  • Facebook
  • Google
  • Live
  • MySpace
  • description
  • Technorati

Tags: