In questo post mi si passi attraverso l'elevato livello di garantire una normale applicazione in esecuzione su più livelli EC2. In primo luogo vorrei coprire le basi di quello che prevede EC2 e poi brevemente discutere di come questo può essere utilizzato in un vero e proprio scenario di vita.

Gruppi di sicurezza

Per la sicurezza di rete fornisce un EC2 gruppi di protezione, sono essenzialmente i gruppi di protezione firewall in entrata adatto alla natura dinamica del EC2. Utilizzo di gruppi di protezione è possibile specificare che il traffico di rete in entrata deve essere consegnato al tuo esempio.

  • La modalità predefinita è quella di negare l'accesso, deve essere esplicitamente aperto le porte per consentire il traffico di rete in entrata
  • Se il gruppo di protezione non è stata specificata una speciale gruppo predefinito viene assegnato al caso. Questo gruppo permette tutto il traffico di rete da parte di altri membri di questo gruppo e scarta il traffico proveniente da indirizzi IP e altri gruppi. È possibile modificare le impostazioni di questo gruppo
  • È possibile assegnare più gruppi di protezione a un AMI esempio.
  • I gruppi di protezione per un esempio sono fissati al momento del lancio di tempo e non può essere modificato. È possibile modificare dinamicamente le regole in un gruppo di protezione e le nuove norme sono applicate automaticamente per tutte le applicazioni in esecuzione e il futuro esempio, ci può essere un piccolo ritardo in funzione del numero di casi
  • È possibile controllare l'accesso da entrambi i gruppi di protezione di nome o indirizzo IP sorgente gamma. È possibile specificare il protocollo (TCP, UDP, ICMP o), i singoli porti o porte per aprire
  • È possibile consentire l'accesso ad altri utenti utilizzando i gruppi di protezione degli utenti di un gruppo coppia
  • L'attuale API (Amazon EC2 su 2008-12-17) non supporta la porta per la sicurezza gamme gruppo usando strumenti a linea di comando o API di ricerca, è necessario utilizzare API SOAP
  • Un account può avere un massimo di 100 gruppi di protezione
  • I gruppi di protezione sono solo applicato le regole di accesso ad un singolo o una collezione di esempi, due casi, se fanno parte dello stesso gruppo di protezione non dà loro alcun accesso speciale tra di loro.
  • Un esempio in esecuzione in promiscuo non può annusare qualsiasi traffico destinato ad un diverso grado.
  • Una istanza in esecuzione di sicurezza non può cambiare le regole di accesso del gruppo. Avete bisogno di chiavi di accesso o X 509 chiave di autorizzare il cambiamento.
  • Nel caso si possa ottenere il gruppo di protezione di informazioni dalla esempio di meta-dati (curl http://169.254.169.254/1.0/meta-data/security-groups)

Della coppia di chiavi

Amazon scoraggia l'uso di password e il modo normale per accedervi è un 'istanza utilizzando ssh e una chiave privata. Amazon EC2 fornisce servizi per generare la chiave (2048 bit RSA key), su istanza di avvio è possibile collegare la chiave per il nome di istanza e ciò consentirà l'accesso come root. Normalmente si personalizzare l'AMI con il proprio utente meno privilegiato, chiavi pubbliche e disabilitare il login di root

Garantire il tuo Applicazione

Ora che abbiamo coperto le basi come possiamo usare queste per garantire una applicazione distribuita. Qui di seguito è la normale architettura di distribuzione di una tipica applicazione livelli.
ec2

Nell'esempio precedente abbiamo creato spiegamento 4 gruppi di protezione

Web Security Group: Consente http (80) e HTTPS (443) a tutti di accedere alla domanda

App. gruppo di protezione: consente l'accesso solo da istanze in esecuzione in sicurezza Web su richiesta del gruppo porti ad esempio, 8080

PB gruppo di protezione: consente l'accesso solo da istanze in esecuzione in circa il gruppo di protezione richiesto porti ad esempio, 3306

ssh-admin gruppo di protezione: consente l'accesso solo a ssh la porta 22 e per una questione di politica di accesso è consentito da un determinato indirizzo host o l'organizzazione della rete. Questo consente una facile gestione dei permessi.

Come si può avviare un 'istanza con più gruppi di protezione di rete di livello casi verrà eseguito con web e ssh-admin gruppi di protezione, le istanze con application server e ssh-app amministratore di database e, infine, i casi con db e ssh-admin.

Non sarà necessario cambiare web app db o gruppi di protezione, La nube amministratore consentire o revocare l'accesso come amministratore semplicemente aggiungendo o eliminando ospita da ssh-admin gruppo con la porta 22 l'accesso. È possibile scrivere script o utilizzare qualsiasi interfaccia grafica (Elasticfox, Amazon Admin Console) strumento


Altri migliori pratiche

  • Make sicuro le domande di Amazon Web Services vedere
  • Limita porta ssh (22) l'accesso alla rete ospitante o organizzazione
  • È possibile e sono incoraggiati da amazon di utilizzare un altro firewall (iptables ad esempio), in combinato disposto con i gruppi di protezione su un 'istanza per restringere in entrata / uscita del traffico e di controllo più fine
  • Non aprire qualsiasi porta inutilmente
  • Sono separata amministratore (accesso ssh ai casi) e la nube di amministratore (la creazione di gruppi di protezione e chiave di coppia di generazione, con accesso a Amazon EC2 certificato e le chiavi di accesso, ma non per l'accesso ssh in esecuzione le istanze)
  • Disattivare la password di accesso in base (set PasswordAuthentication non in / etc / ssh / sshd_config) vedere
  • Personalizza la AMI con i propri utenti le chiavi pubbliche e disabilitare il login di root. Se avete bisogno di utilizzare il login di root sudo vedere
  • Mantenete il vostro AMI aggiornati con le patch di protezione e correzioni



Al Jana, siamo specializzati in Cloud Computing e sono disponibili per il Cloud Cloud implementazioni o servizi di consulenza. Vi preghiamo di contattarci per maggiori dettagli

Share and Enjoy:
  • Digg
  • Sphinn
  • del.icio.us
  • Facebook
  • Google
  • Live
  • MySpace
  • description
  • Technorati

Tag: