아마존 컬렉션에서 아마존 EC2에 fedora linux AMI를 설치했습니다. EBS 저장소에 연결하려고합니다. 가장 기본적인 단계 이외에 아무것도 수행하지 않았다고 가정하고 암호를 변경하지 않은 경우 위의 단계 이외에는이 단계에서 추가 작업을 수행하지 않았습니다.amazon EC2 + EBS를 보호하는 단계
이제이 시점부터 해커를 막고 인스턴스/EBS를 보호하기 위해 어떤 단계를 밟아야합니까?
실제로 다른 Linux 서버를 보호하는 것과 다른 점이 없습니다.
어느 시점에서 자신의 이미지 (AMI)를 만들어야합니다. 이렇게하는 이유는 인스턴스가 다운 될 경우 기존 AMI에서 변경하게 될 변경 사항이 손실된다는 것입니다. 아마존이 인스턴스가 무기한으로 활성 상태로 유지되는 것을 보장하지 않기 때문에 쉽게 발생할 수 있습니다. 데이터 저장을 위해 EBS를 사용하는 경우에도 인스턴스가 다운 될 때마다 OS를 구성하는 것과 같은 평범한 작업을 수행해야합니다. 또한 특정 기간 동안 또는 최대 트래픽이 두 개 이상 시작될 경우 인스턴스를 중지했다가 다시 시작할 수 있습니다.
documentation에서 이미지를 만드는 방법을 읽을 수 있습니다. 보안과 관련하여 인증 파일과 키가 노출되지 않도록주의해야합니다. 이렇게하지 않으면 크래커가 새로운 인스턴스를 시작하는 데 사용할 수 있습니다. 고맙게도 프로세스가 매우 안전하므로 몇 가지 사항 만 고려해야합니다.
직장에서 우리가 한 일은 개인 키와 비밀번호가없는 경우에만 서버에 액세스 할 수 있도록했습니다. 우리는 또한 ping을 비활성화하여 서버에 대해 핑 (ping)하는 사람들이 우리를 찾을 가능성이 적어 지도록했습니다. 또한 주말에 집에서 액세스해야하는 일부 IT 담당자를 제외하고는 네트워크 IP 외부의 포트 22는 차단했습니다. 나머지 필수 포트는 모두 차단되었습니다.
EC2 인스턴스가 두 개 이상인 경우 서버 간의 상호 통신이 안전하도록하는 방법을 찾는 것이 좋습니다. 예를 들어, 서버 A가 손상 되었기 때문에 서버 B가 해킹당하는 것을 원하지 않습니다. 한 서버에서 다른 서버로 SSH 액세스를 차단하는 방법이 있지만 개인적으로이 작업을 수행하지는 않았습니다.
사내 서버보다 EC2 인스턴스의 보안을 강화하는 이유는 기업 방화벽이 부족하기 때문입니다. 대신, 아마존이 제공하는 도구만을 사용합니다. 우리 서버가 사내에있을 때, 일부는 인터넷에 노출되지 않았고 서버는 공개 IP 주소를 가지고 있지 않았기 때문에 네트워크 내에서만 액세스 할 수있었습니다.
개인적으로 보안 그룹 (원하는 경우 각 서버마다 하나씩)을 사용하면 로컬 DMZ의 수작업 VLAN과 비교하여 가상 네트워크 세그먼트를 훨씬 빠르게 설정할 수 있다고 생각합니다. 따라서 "단순한"경계 방화벽과 완전히 신뢰할 수있는 LAN이 Amazon 방식보다 낫다는 것에 동의하지 않습니다. 물론 자신의 네트워크를 세그먼트화할 수도 있습니다. 인프라 팀과 함께 수십 시간의 인력과 팀 회의가 필요할 수도 있습니다.) – eckes
EBS 볼륨을 부팅 파티션으로 사용할 수도 있습니다.이제 인스턴스를 잃어도 데이터 손실이 발생하지 않습니다. 전원을 끄고 전원이 꺼진 상태로 다시 가져올 수도 있습니다. EBS 볼륨은 인스턴스의 영구 저장 장치보다 더 안정적이지만 S3만큼 내구성이 없습니다. 다행스럽게도 EBS 볼륨의 증분 스냅 샷을 S3로 가져올 수 있습니다. – Ben