مقدمه

زمانی که شما سرور ابری یا دیتاسنتر ابری سفارش می­ دهید، دغدغه اصلی شما گرفتن برنامه ­ها و اجرای آنها می باشد. اگرچه تنظیم برنامه­ ها برای اجرای درست، بدون در نظر گرفتن موارد امنیتی، می­تواند باعث عواقب بدی در زیرساخت ابری شما گردد.

در این راهنما قصد داریم در مورد بعضی روش ­های امنیتی پایه برای پیکربندی بهتر زیرساخت، قبل یا بعد از راه اندازی برنامه­ ها صحبت کنیم.

 

کلیدهای SSH

کلیدهای ssh به صورت جفت کلیدهای رمزنگاری شده شناخته می ­شوند. در زمان اتصال به سرور از طریق ssh می­ توانید از این کلیدها بجای رمز عبور استفاده کنید. هردو کلید عمومی و خصوصی برای احراز هویت ایجاد شده ­اند. کلید خصوصی توسط کاربر باید حفظ گردد در حالی­که کلید عمومی می ­تواند با هر کسی به اشتراک گذاشته شود.

برای پیکربندی احراز هویت بوسیله کلید ssh، شما باید کلید عمومی را در یک دایرکتوری خاص برروی سرور ابری قرار دهید. زمانی­که کاربر قصد اتصال به سرور را دارد، سرور از کاربر می­ پرسد که آیا کلید خصوصی را دارد؟ کلاینت ssh از کلید خصوصی برای تایید اینکه کاربر دارای صلاحیت است استفاده می ­کند. سپس سرور به کلاینت اجازه می­ دهد تا بدون کلمه عبور به سرور ابری متصل گردد.

 

چگونه باعث افزایش امنیت در سرور ابری می­ گردد؟

بوسیله ssh، هرگونه احراز هویتی شامل احراز هویت کلمه عبور به صورت کاملا رمز گزاری شده انجام می­ شود. اگرچه زمانی که احراز هویت با کلمه عبور مجاز باشد، کاربران مخرب می ­توانند به صورت مکرر برای دسترسی به سرور تلاش کنند، بوسیله قدرت پردازشی جدید امکان دستیابی به کلمه عبور درست با ترکیبات و تلاش زیاد وجود دارد.

راه اندازی احراز هویت با کلید ssh به شما اجازه می ­دهد تا احراز هویت بر اساس کلمه عبور را غیر فعال کنید. به طور کلی کلیدهای ssh دارای بیت­های بیشتری از داده، نسبت به کلمه عبور هستند، به این معنی که به­ طور قابل ملاحظه ­ای ترکیبات بیشتری وجود دارد تا یک هکر بخواهد آن ها را آزمایش کند. الگوریتم­های کلید ssh به علت اینکه نیاز به زمان بیشتری برای احتمال تطابق دارند،  غیر قابل شکست محسوب می ­شوند حتی با پیشرفته ­ترین سخت افزارهای محاسباتی.

 

پیاده کردن آن چقدر سخت است؟

راه اندازی کلیدهای ssh خیلی راحت هستند و روش توصیه شده­ای برای ورود به سرور ابری لینوکس و یونیکس به صورت از راه دور می‌باشد. یک جفت کلید ssh می­تواند روی سیستم شما ایجاد شود و شما می­توانید کلید عمومی را در ظرف چند دقیقه به سرورهای ابری خود منتقل کنید.

اگر شما همچنان قصد دارید تا از احراز هویت با کلمه عبور استفاده کنید می­توانید از راه حلی مثل fail2ban استفاده کنید تا حدس زدن کلمه عبور را محدود کنید.

 

فایروال

فایروال نرم افزاری می­ باشد که سرویس­ هایی که روی شبکه باید نمایش داده شوند را کنترل می ­کند. به این معنی که روی هر پورتی دسترسی یا محدودیت ایجاد کند به غیر از پورت­ هایی که باید به صورت عمومی نمایش داده شوند.

روی یک سرور ابری معمولی به صورت پیشفرض سرویس­ هایی در حال اجرا هستند. اینها می­توانند به صورت زیر دسته بندی شوند:

• سرویس­ های عمومی که بوسیله هر کسی روی اینترنت قابل دسترس هستند. یک مثال خوب برای آن یک وب سرور است که اجازه دسترسی به سایت شما را می ­دهد.
• سرویس ­های خصوصی که فقط باید بوسیله کاربران تایید شده یا مکان­ های مشخص قابل دسترس باشند. بعنوان مثال کنترل پنل دیتابیس
• سرویس ­های داخلی که باید فقط از داخل سرور قابل دسترس باشند، بدون اینکه از بیرون سرور دیده شوند. برای مثال سرویس دیتابیس که فقط کانکشن ­های داخلی را قبول می ­کند.

فایروال مطمئن می ­شود که دسترسی به نرم افزار شما بر اساس دسته بندی بالا محدود شده است.

سرویس­ های عمومی می ­توانند همچنان باز و برای هر کسی قابل دسترس باشند و سرویس­ های خصوصی می­ توانند بر اساس مناطق مختلف محدود شده باشند. سرویس ­های داخلی می­ توانند به صورت کامل غیر قابل دسترس شوند. برای پورت ­هایی که استفاده نمی­ شوند بهتر است که مسدود شده باشند.

 

فایروال چگونه باعث افزایش امنیت سرور ابری می ­شود؟

 فایروال یک بخش ضروری از پیکربندی سرور ابری است. حتی اگر سرویس ­ها خودشان دارای ویژگی­­های امنیتی یا محدود به یک رابط کاربری باشند که شما قصد اجرای آن را داشته باشید، یک فایروال به­ عنوان لایه امنیتی اضافی در نظر گرفته می­ شود.

یک فایروال پیکربندی شده دسترسی به هر چیزی را محدود می­کند به غیر از سرویس­ های مشخصی که شما نیاز داشته باشید تا پورت آن همچنان باز باشد. قسمتی از برنامه حملات به سرور ابری شما را کاهش و باعث محدود شدن آسیب پذیری روی اجزای آن می ­شود.

 

پیاده سازی فایروال چقدر سخت است؟

فایروال­ های زیادی برای سیستم­ های لینوکسی در دسترس می­باشد، یادگیری بعضی از آنها نسبت به بقیه سخت ­تر است. در حالت کلی راه اندازی فایروال چند دقیقه زمان می­برد که فقط در زمان راه ­اندازی اولیه سرور یا زمانی که شما قصد نصب و پیکربندی سرویس­ هایی را روی سیستم خود دارید اتفاق می­ افتد.

ساده­ترین انتخاب فایروال UFW است. انتخاب­های دیگر iptables  یا فایروال CSF می­باشد.

 

 

شبکه مجازی خصوصی

شبکه­ های خصوصی، شبکه ­هایی هستند که فقط قابل دسترس برای کاربران یا سرورهای خاصی هستند. برای مثال شبکه­ های خصوصی ابر زس یک ارتباط ایزوله­ ای را بین سرورهای موجود در یک پروژه ایجاد خواهند کرد. یک شبکه مجازی خصوصی، راهی برای ایجاد ارتباطات امن بین سرور و کلاینت می ­باشد. این روش یک پیکربندی برای سرویس­ های شما که روی شبکه خصوصی هستند فراهم می­کند.

 

شبکه مجازی خصوصی چگونه باعث افزایش امنیت می ­شود؟

استفاده از شبکه خصوصی بجای عمومی برای ارتباطات داخلی همیشه اولویت بیشتر را در هنگام انتخاب بین آن دو می­دهد.

ارتباطات به صورت کاملا خصوصی می­باشد. برنامه­ های دیگر جهت عبور ترافیک برروی رابط کاربری مجازی می­توانند پیکربندی شوند. در این روش تنها سرویس­ هایی که توسط کلاینت روی اینترنت باید قابل دسترس باشند روی شبکه عمومی قرار می­ گیرند.

 

پیاده سازی آن چقدر سخت است؟

در زمان خرید سرویس دیتاسنتر ابری شبکه خصوصی در آن وجود دارد و شما به راحتی می­توانید شبکه­ های خصوصی دیگری را ایجاد و از آنها استفاده نمایید. در این حالت شما می­توانید فایروال خود را برای آن تنظیم نمایید. به یاد داشته باشید که هر سروری روی  شبکه خصوصی باشد توسط دیگر سرورهای موجود روی آن شبکه قابل دسترس است.

 

ادامه‌ی مقاله در بخش دوم به شما دوستان عزیز تقدیم می‌گردد.

با تشکر