шаги по обеспечению безопасности Amazon EC2 + EBS

Question

Я только что установил Fedora linux AMI на Amazon EC2 из коллекции Amazon. Я планирую подключить его к хранилищу EBS. Предполагая, что я не сделал ничего, кроме самых простых шагов, пароль не изменился, на этом этапе ничего другого не было сделано, кроме указанного выше.

Теперь, с этого момента, какие шаги я должен предпринять, чтобы остановить хакеров и защитить мой экземпляр / EBS?

Answer 1

В какой-то момент вам нужно создать свой собственный образ (AMI).Причиной этого является то, что изменения, которые вы внесете в существующий AMI, будут потеряны, если ваш экземпляр выйдет из строя (что может легко произойти, поскольку Amazon не гарантирует, что экземпляр будет оставаться активным в течение неопределенного времени).Даже если вы используете EBS для хранения данных, вам придется выполнять одни и те же повседневные задачи по настройке ОС каждый раз, когда экземпляр отключается.Вы также можете захотеть остановить и перезапустить свой экземпляр в определенные периоды или в случае пикового трафика запустить более одного из них.

Некоторые инструкции по созданию образа можно прочитать в документации ,Что касается безопасности, вы должны быть осторожны, чтобы не подвергать свои файлы сертификации и ключи.Если вам не удастся сделать это, взломщик может использовать их для запуска новых экземпляров, за которые будет взиматься плата.К счастью, этот процесс очень безопасен, и вам следует обратить внимание только на пару моментов:

• Начните с изображения, которому вы доверяете.Пользователям разрешено создавать общедоступные изображения, которые будут использоваться всеми, и они могут либо по ошибке, либо по своей сути оставить в них дыру в безопасности, которая может позволить кому-то украсть ваши идентификаторы.Начиная с официального Amazon AMI, даже если в нем отсутствуют некоторые функции, которые вам требуются, это всегда мудрое решение.
• В процессе создания образа вам потребуется загрузить сертификаты в работающем экземпляре.Загрузите их в место, которое не входит в изображение (/ mnt или / tmp).Оставлять их на изображении небезопасно, поскольку в будущем вам, возможно, придется поделиться своим изображением.Даже если вы никогда не планируете этого делать, взломщик может использовать ошибку безопасности в программном обеспечении, которое вы используете (ОС, веб-сервер, инфраструктура), чтобы получить доступ к запущенному экземпляру и украсть ваши учетные данные.
• Если выпланируете создать общедоступный образ, убедитесь, что в нем нет никаких следов ваших ключей / идентификаторов (например, в истории команд оболочки).

Answer 2

На самом деле здесь нет ничего отличного от защиты любого другого сервера Linux.

Answer 3

На работе мы убедились, что к серверам можно получить доступ только с закрытым ключом, без паролей.Мы также отключили пинг, чтобы любой, кто пингует по серверам, с меньшей вероятностью нашел наш.Кроме того, мы заблокировали порт 22 от всего, что находится за пределами IP-адреса нашей сети, за исключением нескольких ИТ-специалистов, которым по выходным может понадобиться доступ из дома.Все другие несущественные порты были заблокированы.

Если у вас более одного экземпляра EC2, я бы порекомендовал найти способ обеспечить безопасность взаимодействия между серверами.Например, вы не хотите, чтобы сервер B тоже был взломан только потому, что сервер A был взломан.Может быть способ заблокировать доступ SSH с одного сервера на другой, но я лично этого не делал.

Что делает защиту экземпляра EC2 более сложной, чем внутренний сервер, так это отсутствие корпоративного брандмауэра,Вместо этого вы полагаетесь исключительно на инструменты, предоставляемые Amazon.Когда наши серверы были собственными, некоторые даже не были подключены к Интернету и были доступны только в сети, потому что у сервера просто не было общедоступного IP-адреса.