چند اقدام ساده برای مقاوم سازی سرور مجازی – قسمت دوم

سرور مجازی با شبکه های خصوصی استفاده کنید. شما می توانید در زیرساختهای ابری هر دونوع هاست ( هاستهایی که IP قابل ردیابی از طریق اینترنت دارند و هاستهایی که IP داخلی دارند ) را تعریف کنید. IAM

در سرور مجازی AWS با نصب یک مجموعه ی ثانویه از شبکه های خصوصی و ایجاد هاستهای spawning در داخل این شبکه ها به جای شبکه ی عمومی پیش فرض ، هاست های مورد نظر خود را تعریف کنید. از شبکه ی عمومی پیش فرض مانند یک DMZ استفاده کنید و هاستهایی را که واقعاً باید به اینترنت دسترسی داشته باشند ، داخل آن قرار دهید. سایر هاستها را نیز در شبکه ی خصوصی قرار دهید.

با این کار هاستهای موجود در شبکه ی خصوصی ، حتی زمانی که مورد حمله ی هکرها قرار بگیرند وحتی در صورتی که مهاجم بخواهد ، نمی توانند بطور مستقیم به اینترنت وصل شوند ، و این امر سبب می شود که دانلود فایلهای rootkit و دیگر ابزارهای قسمتهای ثابت سیستم مشکل تر شود و تنها از طریق ایجاد کانالهای ظریف و پیچیده امکان پذیر باشد. و در صورتی که میزبانی شما مستقیما روی سرور مجازی باشد امنیت شما بیشتر خواهد بود.

به نظر می رسد این روزها همه ی سرویسها مایل هستند که به پورتهای وب هاستهای دیگر موجود در اینترنت دسترسی نامحدود داشته باشند، اما یکی از مزایای رویکرد استفاده از شبکه ی خصوصی آن است که شما می توانید به جای تمرکز تلاش ها و کار بر روی نصب فایروال برای انتقال اطلاعات به یک IP خارجی خاص ، یک سرویس پراکسی وب در DMZ خود نصب کنید که دسترسی گسترده تری به اینترنت داشته باشد و سپس هاستهای موجود در شبکه ی خصوصی را با نام هاست ، و نه به وسیله ی IP ، محدود کنید. این کار یک امتیاز اضافی به شما می دهد و شما می توانید تمام هاستهای خارجی که زیرساختهای شما به آنها دسترسی دارند را بر روی هاست پراکسی ردیابی و نظارت کنید.

لیست سرور مجازی قابل دسترسی هر حساب کاربری را به حداقل برسانید

در سرور مجازی AWS شما می توانید از طریق IAM یک مجموعه ی غنی از ابزارهای کنترل لیست دسترسی را در اختیار داشته باشید. این مجموعه به شما امکان می دهد که قوانین بسیار دقیقی را تنظیم کنید و بر اساس این قوانین و با استفاده از یک فرایند بسیار پیچیده مشخص کنید که هر حساب کاربری یا عملکرد به کدامیک از منابع AWS دسترسی داشته باشند. با اینکه IAM یک سری قوانین از پیش تعیین شده برای شروع کار در اختیار شما قرار می دهد، اما هنوز هم دچار همان مشکلی است که همه ی لیستهای غنی کنترل دسترسی با آن روبرو هستند _ پیچیدگی این لیستها سبب می شود که کاربر به راحتی اشتباه کند و بیش از حد لازم به افراد دسترسی به هاستهای مختلف و یا اینترنت بدهد.

توصیه ی ما این است که از IAM در حد نیاز و تنها برای مسدود کردن دسترسی حساب کاربری اصلی AWS ( مانند حساب کاربری sysadmin و یا ابزارهای هماهنگ سازی ) استفاده کنید و تا حد ممکن قوانین IAM را ساده کنید. اگر در مراحل بعدی نیاز داشتید که میزان دسترسی به منابع را محدود کنید ، این کار را با محدود کردن و کنترل میزان دسترسی در سطوح دیگر انجام دهید. با آنکه به نظر می رسد دادن مجوزهای گسترده IAM به یک حساب کاربری AWS چندان امن نیست و با رعایت اصل دادن حداقل امتیاز منافات دارد ، اما در عمل هرچه قوانین شما پیچیده تر باشد ، احتمال اینکه اشتباه بکنبد نیز بیشتر است.

نتیجه

محیط ابری امکانات فراوان و پیچیده ای برای تأمین امنیت در اختیار ما قرار می دهد ، اما انجام اقدامات ساده و اساسی امنیتی که همگان بتوانند آنها را درک کرده و انجام دهند بسیار مهمتر است. با استفاده از اقداماتی که در این مطلب به آنها اشاره شده است ، شما می توانید با انجام یک سری اقدامات ساده و اساسی   محیط سرور مجازی خود را ایمن تر کنید بدون آنکه آن ر بیش از حد پیچیده کرده باشید. همچنین باید سری به لیست سرور مجازی ما بزنید تا اطلاعات بیشتری داشته باشید.