با استفاده از چند اصل ساده ی مقاوم سازی، محیط سرور مجازی و ابری خود را ایمن کنید. نوین هاست در این پست بر آن است که با تأکید بر مقاوم سازی زیرساخت های سرور مجازی ، شما را با اقداماتی که هر کس می تواند برای ایمن کردن محیط سرور مجازی انجام دهد ، آشنا کند.
سرور مجازی با حسابهای کاربری جدید ( نسبتاً) رایگان هستند ، از آنها استفاده کنید.
یکی از امتیازات بزرگ زیرساختهای ابری آن است که شما می توانید زیرساخت خود را به بخشهای کوچکتر و جدا از یکدیگر تقسیم کنید. وجود چند سرور مجازی در یک فضا کار شما را مشکل خواهد کرد. اما زیرساختهای سرور مجازی از تکنولوژی لازم برای جداسازی یک مشتری از مشتری دیگر و جداسازی یک نوع خاص از زیر ساخت از سایر انواع زیرساختها برخوردار است. اگرچه این امکان کاملاً رایگان نیست و استفاده از آن هزینه و زحمت کار را تا حدی افزایش می دهد. اما قبول این هزینه و زحمت به جدایی محیطهای مختلف از یکدیگر می ارزد .
مقاوم سازی سرور
یکی از اولین اقدامات امنیتی که باید انجام دهید ، این است که هر یک از محیطهای خود را به حسابهای کاربری سطح بالای سازنده ی آن تقسیم کرده و این حسابهای کاربری را از یکدیگر جدا کنید. شما می توانید چند حساب کاربری مختلف ساخته و آنها را به یک حساب پرداخت مرکزی وصل کنید. این بدان معنی است که شما می توانید فضای هر یک از فعالیتهای خود اعم از تولید ، رتبه بندی و توسعه ی کار ( و یا هر فعالیت دیگری که ممکن است داشته باشید ) را به حسابهای کاربری جداگانه و مجزا از هم تقسیم کنید به نحوی که هر حساب کاربری شبکه ی مربوط به خود ، اعتبار مربوط به خود و وظیفه ی مربوط به خود و کاملاً مجزا از سایر حسابها داشته باشد.
با تقسیم کردن هر یک از این زیرساختها و مجزا کردن حسابهای کاربری آنها از یکدیگر ، شما می توانید خطرات و آسیبهای حمله ی احتمالی به هر یک از این بخشهای جداگانه را به یک حساب کاربری محدود کنید. و بدین ترتیب بخش ها و حسابهای کاربری دیگر را از آسیب دور نگه دارید. همچنین با این کار شما می توانید به سادگی میزان هزینه ی لازم برای هر حساب کاربری را به صورت جداگانه مشخص کنید.
در یک زیرساخت سنتی که فرایند تولید و توسعه در یک فضا انجام می شود. این دو فرایند به سادگی به یکدیگر وابسته می شوند. و اشتباه در یکی بر نتیجه ی دیگری تأثیر خواهد گذاشت. تقسیم این محیطها به حسابهاب کاربری جداگانه ، از آنها در برابر یکدیگر محافظت می کند. و این عدم وابستگی به شما در تشخیص لینکهای منطقی مورد نیاز بین این محیطها کمک می کند. با شناخت این لینک ها شما راحت تر می توانید محدودیتها و قوانین مربوط به فایروال را بین این حسابهای کاربری تعیین و اعمال کنید. درست مانند زمانی که بخواهید از طریق یکی از زیرساختهای خود با یک شخص ثالث تماس داشته باشید.
گروه های امنیتی را در سرور مجازی مسدود کنید
یکی از مزایای زیرساخت ابری آن است که شما می توانید کنترل بسیار دقیق تری بر قوانین فایروال و ورود و خروج اطلاعات داشته باشید. به عنوان مثال در گروههای امنیتی AWS شما می توانید قوانین فایروال را هم برای تبادل اطلاعات بین یک گروه امنیتی با یک طرف خارجی در اینترنت و هم بین گروههای امنیتی با یکدیگر تعیین و اجرا کنید. از آنجا که ممکن است شما در یک هاست چند گروه امنیتی داشته باشید. می توانید در تعیین چگونگی دسترسی هاستهای مختلف به شبکه نیز انعطاف زیادی به خرج دهید.
پیشنهاد نخست نوین هاست این است که ابتدا و به صورت پیش فرض تمامی ورود و خروج اطلاعات را مسدود کنید و قوانین خاص مورد نیاز را برای هر گروه امنیتی وضع کرده و به قوانین موجود اضافه کنید. این اساسی ترین اقدام برای امنیت شبکه است و به یک اندازه هم برای گروههای امنیتی و هم برای فایروالهای سنتی کاربرد دارد. مقاوم سازی سرور
به ویژه اگر از گروه امنیتی پیش فرض استفاده می کنید ، این مسئله اهمیت زیادی خواهد داشت. چرا که این گروه به صورت پیش فرض اجازه می دهد که اطلاعات به صورت نامحدود از گروه خارج شده و وارد فضای اینترنت شود. در این شرایط ، نخستین کاری که باید انجام دهید. این است که این امکان را غیرفعال کنید. اگرچه محدود کردن انتقال اطلاعات به اینترنت به این روش تا حدی سبب بروز مشکل در ابتدای کار می شود. اما این کار به مراتب راحت تر از آن است که بخواهید پس از شروع کار ، این محدودیت را ایجاد کنید.
نحوه مقاوم سازی سرور
شما می توانید با استفاده از گروههای امنیتی خیلی از کارها را پیچیده کنید ، اما توصیه ی ما به شما این است که از این امکان استفاده نکنید و بگذارید حتی الامکان کارها به روش ساده تر انجام شود. برای هر سرور مطابق با عملکرد و نقش خودش ( مثلاً وب ، اپلیکیشن ، database و …) یک گروه امنیتی مختص به همان سرور مجازی تشکیل دهید. با این کار به آسانی می توانید آگاه شوید که کدام سرور مجازی از فایروال استفاده می کند و چگونه این کار را انجام می دهد. اگر یک سرور اختصاصی با عملکرد و نقش مشخص به مجوز شبکه ی مربوط به سرور دیگر احتیاج پیدا کند ، نشانه ی آن است که این سرور وارد حیطه ی عملکردی غیر از عملکرد و نقش خود شده است.
نوین هاست یار نوین شماست
مدل گروه امنیتی مبتنی بر عملکرد ، مدل بسیار خوبی است. اما اگر بخواهید یک دستور فایروال را برای تمام هاست های خود اجرا کنید. مقرون به صرفه نخواهد بود. به عنوان مثال ، وقتی شما یک واحد مرکزی برای مدیریت پیکربندی داشته باشید. مطمئناً مایل هستید که تمام هاست ها مجاز به برقراری ارتباط با این واحد مرکزی باشند. در چنین مواردی پیشنهاد ما این است که از گروه امنیتی پیش فرض استفاده کنید. و مطمئن شوید که تمام هاست های شما عضو این گروه پیش فرض هستند.
سپس از این گروه پیش فرض به عنوان یک پایگاه مرکزی برای تنظیم و اجرای فایروالهایی که می خواهید برای تمام هاست ها اجرا شوند، استفاده کنید. یکی از دستورات فایروال که بطور خاص در این گروه پیش فرض اجرا می شود. این است که اجازه ی خروج اطلاعات به همه ی هاستهایی که عضو این گروه هستند ، داده می شود. بدین ترتیب دیگر لازم نیست زمانی که می خواهیم اطلاعات موجود در هاستهای عضو یک گروه امنیتی را با یکدیگر مبادله کنیم ، در یک گروه اجازه ی خروج اطلاعات و در گروه دیکر اجازه ی ورود اطلاعات را دوباره نویسی کنیم.
