سرورهای مجازی و محیط های ابری خود را با استفاده از چند اصل ساده مقاوم سازی ایمن کنید. در این پست نوین هاست با تاکید بر ارتقای زیرساخت سرور مجازی قصد دارد شما را با اقداماتی که هر کسی می تواند برای ایمن سازی محیط سرور مجازی انجام دهد آشنا کند.
سرورهای مجازی با حساب های کاربری جدید (نسبتا) رایگان هستند، از آنها استفاده کنید.
یکی از مزیت های بزرگ زیرساخت ابری این است که می توانید زیرساخت خود را به بخش های کوچکتر و مجزا تقسیم کنید. وجود چندین سرور مجازی در یک مکان کار شما را دشوار می کند. اما زیرساخت سرور مجازی شامل فناوری مورد نیاز برای جداسازی یک کلاینت از مشتری دیگر و جداسازی یک نوع خاص از زیرساخت از انواع زیرساخت است. با این حال این امکان کاملا رایگان نیست و استفاده از آن تا حدودی هزینه و تلاش را به همراه دارد. اما ارزش پذیرش این هزینه و تلاش برای جداسازی محیط های مختلف از یکدیگر را دارد.
ارتقاء سرور
یکی از اولین اقدامات امنیتی که باید انجام دهید این است که هر یک از محیط های خود را به حساب های کاربری سطح بالای سازنده آن تقسیم کنید و این حساب های کاربری را از یکدیگر جدا کنید. می توانید چندین حساب مختلف ایجاد کنید و آنها را به یک حساب پرداخت مرکزی پیوند دهید. این بدان معناست که شما می توانید فضای هر یک از فعالیت های خود اعم از تولید، رتبه بندی و توسعه شغلی (یا هر فعالیت دیگری) را به حساب های کاربری مجزا و مجزا تقسیم کنید، به طوری که هر حساب کاربری شبکه، اعتبارات و کار خود را کاملاً مجزا از سایر حساب ها داشته باشد.
با تقسیم هر یک از این زیرساختها و جداسازی حسابهای کاربری آنها از یکدیگر، میتوانید خطرات و آسیبهای حمله احتمالی از هر یک از این بخشهای جدا شده را به یک حساب کاربری محدود کنید. و در نتیجه سایر بخش ها و حساب های کاربری را از خطر دور نگه دارید. همچنین با استفاده از این تابع به راحتی می توانید وجوه مورد نیاز را به صورت جداگانه برای هر حساب کاربری تنظیم کنید.
در زیرساخت های سنتی که فرآیند تولید و توسعه در یک مکان واحد انجام می شود. هر دوی این فرآیندها به سادگی به یکدیگر وابسته هستند. و اشتباه در یکی بر نتیجه دیگری تأثیر می گذارد. تفکیک این محیط ها به حساب های کاربری مجزا از یکدیگر محافظت می کند. و این عدم وابستگی به شما کمک می کند تا پیوندهای منطقی لازم بین این محیط ها را شناسایی کنید. با دانستن این پیوندها، می توانید به راحتی محدودیت ها و قوانین فایروال را بین این حساب های کاربری تنظیم و اجرا کنید. درست مانند زمانی که می خواهید از طریق یکی از زیرساخت های خود با شخص ثالث تماس بگیرید.
گروه های امنیتی را در سرورهای مجازی مسدود کنید
یکی از مزایای زیرساخت ابری این است که می توانید کنترل دقیق تری بر قوانین فایروال و ورود و خروج داده ها داشته باشید. به عنوان مثال، در گروه های امنیتی AWS می توانید قوانین فایروال را برای تبادل اطلاعات بین گروه های امنیتی با یک طرف خارجی در اینترنت و بین گروه های امنیتی با یکدیگر تعریف و پیاده سازی کنید. زیرا می توانید چندین گروه امنیتی روی یک هاست داشته باشید. شما می توانید انعطاف زیادی در تعیین نحوه دسترسی میزبان های مختلف به شبکه داشته باشید.
اولین پیشنهاد برای هاست جدید این است که تمام اطلاعات ورودی و خروجی را به صورت پیش فرض مسدود کرده و قوانین ویژه لازم را برای هر گروه امنیتی تنظیم کرده و به قوانین موجود اضافه کنید. این اساسی ترین معیار برای امنیت شبکه است و برای گروه های امنیتی و فایروال های سنتی به طور یکسان اعمال می شود. ارتقاء سرور
اگر از گروه امنیتی پیشفرض استفاده میکنید، این امر به ویژه مهم است. زیرا به صورت پیش فرض امکان خروج اطلاعات گروه از گروه و ورود نامحدود به فضای اینترنت را فراهم می کند. در چنین شرایطی اولین کاری که باید انجام دهید. این گزینه باید غیرفعال شود. اما محدود کردن انتقال اطلاعات در اینترنت از این طریق مشکلاتی را در همان ابتدای کار ایجاد می کند. اما این بسیار ساده تر از تلاش برای تعیین محدودیت پس از شروع است.
نحوه نصب مجدد سرور
با استفاده از گروه های امنیتی می توانید خیلی چیزها را پیچیده کنید، اما ما به شما توصیه می کنیم از این امکان استفاده نکنید و بگذارید تا حد امکان کارها ساده باشد. برای هر سرور با توجه به عملکرد و نقشش (مثلاً وب، اپلیکیشن، پایگاه داده و …) یک گروه امنیتی مخصوص آن سرور مجازی ایجاد کنید. با این کار می توانید به راحتی متوجه شوید که کدام سرور مجازی و چگونه از فایروال استفاده می کند. اگر یک سرور اختصاصی با عملکرد و نقشی خاص نیاز به مجوز شبکه برای سرور دیگری داشته باشد، نشان دهنده این است که این سرور به ناحیه عملکردی غیر از عملکرد و نقش خود وارد شده است.
نوین هاست دوست جدید شماست
مدل گروه امنیتی مبتنی بر عملکرد مدل بسیار خوبی است. اما اگر می خواهید دستور فایروال را برای همه هاست خود اجرا کنید. به صرفه نخواهد بود. به عنوان مثال، زمانی که شما یک واحد مرکزی برای مدیریت پیکربندی دارید. البته شما می خواهید که همه هاست ها اجازه داشته باشند با این واحد مرکزی ارتباط برقرار کنند. در چنین مواردی توصیه می کنیم از گروه امنیتی پیش فرض استفاده کنید. و مطمئن شوید که همه هاست های شما عضو این گروه پیش فرض هستند.
سپس از این گروه پیشفرض بهعنوان پایهای مرکزی برای راهاندازی و اجرای فایروالهایی که میخواهید روی همه میزبانها اجرا شوند، استفاده کنید. یکی از دستورات فایروال که منحصراً در این گروه پیش فرض اجرا می شود. این بدان معناست که تمامی هاست هایی که عضو این گروه هستند مجاز به ترک اطلاعات هستند. بنابراین، وقتی میخواهیم اطلاعات را بین میزبانهای اعضای یک گروه امنیتی رد و بدل کنیم، نیازی به بازنویسی مجوز ترک اطلاعات در یک گروه و اجازه ورود اطلاعات در گروه دیگر نیست.
نوشتن چند مرحله ساده برای ارتقاء سرور مجازی – قسمت اول اولین بار است که در نوین اینجا هستم. ظاهر شد.