In dit bericht zal ik u door het hoge niveau van de beveiliging van een normaal gedifferentieerde toepassing draait op EC2. Eerst zal ik de basics van wat EC2 biedt en vervolgens in het kort bespreken hoe dit kan worden gebruikt in een real life scenario.

Veiligheid Groepen

Voor Netwerkbeveiligingsapparatuur EC2 biedt een zekerheid groepen, veiligheid groepen zijn in wezen inkomende firewalls zijn afgestemd op de dynamische aard van EC2. Het gebruik van security groepen die u kunt opgeven welke inkomende netwerkverkeer moet worden verstuurd naar uw aanleg.

  • De standaard modus is de toegang te weigeren, moet u expliciet open poorten om inkomend netwerkverkeer
  • Indien er geen zekerheid is gespecificeerd een speciale standaard groep is toegewezen aan de aanleg. Deze groep maakt het mogelijk alle netwerkverkeer van andere leden van deze groep en ontdoet het verkeer uit andere IP-adressen en groepen. U kunt de instellingen voor deze groep
  • U kunt meerdere beveiligingsgroepen aan een AMI aanleg.
  • De zekerheid groepen voor een geval worden vastgesteld op lancering tijd en kan niet worden gewijzigd. U kunt dynamisch aanpassen van de regels in een veiligheids-groep en de nieuwe regels worden automatisch toegepast voor alle lopende en toekomstige aanleg, kan er een kleine vertraging, afhankelijk van het aantal gevallen
  • U kunt de toegang van hetzij de naam beveiligingsgroepen of bron IP-adres bereik. U kunt het protocol (TCP, UDP of ICMP), individuele havens of poortbereik te openen
  • U kunt de toegang voor andere gebruikers beveiligingsgroepen met behulp van gebruikers-groep pair
  • De huidige API (Amazon EC2 op 2008-12-17) geen ondersteuning biedt voor de veiligheid poortbereiken groep met behulp van commando lijn gereedschap of Query API, moet u gebruik SOAP API
  • Een account kan maximaal 100 beveiligingsgroepen
  • Beveiligingsgroepen zijn slechts toegang regels toegepast op een enkele of een verzameling van de gevallen, als twee gevallen deel uitmaken van dezelfde groep veiligheid dit niet veroorloven een bijzondere toegang tussen hen.
  • Een instantie uitgevoerd in promiscuous kan niet ruiken alle verkeer bestemd voor een andere instantie.
  • Een loopt bijvoorbeeld niet kunt wijzigen beveiligingsgroep toegang regels. U moet toegangstoetsen of X 509 sleutel tot verandering toestaan.
  • In het geval kunt u de beveiliging groep informatie van de aanleg van meta-data (curl http://169.254.169.254/1.0/meta-data/security-groups)

Sleutelpaar

Amazon ontmoedigt het gebruik van wachtwoorden en de normale manier om toegang te krijgen tot een geval is het gebruik van ssh en een private sleutel. Amazon EC2 biedt faciliteiten voor het genereren van de sleutel (2048 bit RSA-sleutel), bijvoorbeeld bij het opstarten kunt u de sleutel naam aan de aanleg en dit zal mogelijk root toegang. Normaal gesproken zult u de AMI aanpassen met uw eigen minder bevoorrechte gebruiker publieke sleutels en uitschakelen root login

Beveiliging van uw Applicatie

Nu we al de basis hoe kunnen we deze gebruiken om een gedistribueerde applicatie. Hieronder is de normale inzet architectuur voor een typisch gedifferentieerde toepassing.
ec2

In het bovenstaande inzet hebben we 4 beveiligingsgroepen

Web-Security groep: Laat HTTP (80) en HTTPS (443) voor iedereen toegang tot de applicatie

Toep.downloads Security Group: Alleen toegang van de gevallen loopt in Web Security Group over de vereiste poorten bv. 8080

OB Security Group: Alleen toegang vanaf gevallen uitgevoerd in app Security Group over de vereiste poorten bv. 3306

ssh-admin Security Group: Alleen toegang tot SSH-poort 22 en als een kwestie van beleid toegang is mogelijk vanaf specifieke host adres of organisatie netwerk. Dit maakt het mogelijk eenvoudig beheer van machtigingen.

Zoals je kunt beginnen met een geval met meerdere beveiligingsgroepen het web tier gevallen zal lopen met web-en SSH-admin beveiligingsgroepen, app server gevallen met app en SSH-admin en tenslotte databank gevallen met DB en SSH-admin.

Je zal niet moeten veranderen web app of db beveiligingsgroepen, De wolk beheerder zal toestaan of intrekken admin toegang door net te voegen of te verwijderen gastheren uit ssh-admin groep met poort 22 toegang. U kunt de scripts schrijven of gebruik een GUI (Elasticfox, Amazon admin console) tool


Andere Best practices

  • Maak veilige verzoeken tot Amazon Web Services zie
  • Beperken ssh-poort (22) toegang tot de gastheer of organisatie netwerk
  • U kunt en worden aangemoedigd door amazone op het gebruik van een andere firewall (bijv. iptables), in samenhang met veiligheid groepen op een instantie te beperken inkomende / uitgaande verkeer en hebben fijnere controle
  • Dont open elke haven onnodig
  • Hebben aparte applicatie beheerder (SSH toegang tot de gevallen) en wolk beheerder (het opzetten van veiligheid en sleutel-pair generatie met toegang tot Amazon EC2 certificaat en toegangstoetsen maar geen SSH toegang tot actieve instances)
  • Uitschakelen wachtwoord gebaseerd login (set PasswordAuthentication niet in / etc / ssh / sshd_config) zie
  • Pas de AMI met je eigen gebruikersnaam publieke sleutels en uitschakelen root inloggen. Als je root login gebruik sudo zie
  • Houd uw AMI up-to-date met beveiligingspatches en fixes



Op Jana, wij zijn gespecialiseerd in Cloud Computing en zijn beschikbaar voor Cloud implementaties of Cloud adviesdiensten. Gelieve contact met ons op voor meer informatie

Het aandeel en geniet van:
  • Digg
  • Sphinn
  • del.icio.us
  • Facebook
  • Google
  • Live
  • MySpace
  • description
  • Technorati

Labels: