amazon EC2のamazonコレクションからfedora linux AMIをインストールしました。 EBSストレージに接続する予定です。最も基本的なステップ以上のことは何もしておらず、パスワードが変更されていないと仮定すると、上記以外の段階では何も追加作業が行われていません。amazon EC2 + EBSを確保する手順
ここから、ハッカーを止めてインスタンス/ EBSを保護するために、どのような手順を取る必要がありますか?
他のLinuxサーバを保護することと実際には違いはありません。
ある時点で、独自のイメージ(AMI)を作成する必要があります。これを行う理由は、インスタンスがダウンした場合に既存のAMIで行われる変更が失われることです(Amazonがインスタンスが無期限にアクティブになることを保証しないため容易に発生する可能性があります)。 EBSをデータストレージに使用しても、インスタンスが停止するたびにOSを構成する同じ日常的なタスクを実行する必要があります。また、ある期間にインスタンスを停止して再起動したり、ピーク時に複数のトラフィックが開始された場合は、再起動したりすることもできます。
documentationに画像を作成するための説明があります。セキュリティに関しては、証明書ファイルとキーを公開しないように注意する必要があります。これに失敗した場合、クラッカーはそれらを使用して請求される新しいインスタンスを開始することができます。ありがたいことに、プロセスは非常に安全であり、数点で注意を払う必要があります。
私たちが行ったことは、サーバーにプライベートキーとパスワードなしでアクセスできることを確認しました。私たちはまた、pingを無効にしてサーバーのpingを行っている人が私たちを見つける可能性が低くなるようにしました。さらに、週末に家からアクセスする必要のあるITスタッフを除き、ポート22をネットワークIP以外のものからブロックしました。その他の必須でないポートはすべてブロックされました。
複数のEC2インスタンスがある場合は、サーバー間の相互通信が安全であることを確認する方法を見つけることをおすすめします。たとえば、サーバーAが侵害されただけで、サーバーBがハッキングされることは避けてください。あるサーバーから別のサーバーへのSSHアクセスをブロックする方法があるかもしれませんが、私はこれを個人的に行っていません。
企業内のファイアウォールが不足しているため、社内サーバーよりもEC2インスタンスのセキュリティを強化するためには何が必要ですか。代わりに、Amazonが提供するツールだけに依存しています。当社のサーバーが社内にある場合、一部の企業はインターネットにさらされておらず、パブリックIPアドレスがないため、ネットワーク内でしかアクセスできませんでした。
個人的には、ローカルDMZの手作業VLANと比較して、セキュリティグループ(各サーバーごとに1つずつ)を使用すると、仮想ネットワークセグメントの設定をより迅速に行うことができます。したがって、私は、「シンプルな」境界ファイアウォールと完全に信頼できるLANがAmazonのアプローチより優れていることに同意しません。もちろん、自分のネットワークも分割することができます。数時間の人事やインフラストラクチャチームとのチームミーティングが必要です。 ) – eckes
EBSボリュームをブートパーティションとして使用することもできます。インスタンスを失っても、データが失われることはありません。電源を切って電源を切った元の状態に戻すこともできます。EBSボリュームはインスタンスの一時記憶域よりも信頼性が高く、S3ほど耐久性がありません。幸いなことに、EBSボリュームの増分スナップショットをS3に取り込むことができます。 – Ben