مقدمه
زمانی که شما سرور ابری یا دیتاسنتر ابری سفارش می دهید، دغدغه اصلی شما گرفتن برنامه ها و اجرای آنها می باشد. اگرچه تنظیم برنامه ها برای اجرای درست، بدون در نظر گرفتن موارد امنیتی، میتواند باعث عواقب بدی در زیرساخت ابری شما گردد.
در این راهنما قصد داریم در مورد بعضی روش های امنیتی پایه برای پیکربندی بهتر زیرساخت، قبل یا بعد از راه اندازی برنامه ها صحبت کنیم.
کلیدهای SSH
کلیدهای ssh به صورت جفت کلیدهای رمزنگاری شده شناخته می شوند. در زمان اتصال به سرور از طریق ssh می توانید از این کلیدها بجای رمز عبور استفاده کنید. هردو کلید عمومی و خصوصی برای احراز هویت ایجاد شده اند. کلید خصوصی توسط کاربر باید حفظ گردد در حالیکه کلید عمومی می تواند با هر کسی به اشتراک گذاشته شود.
برای پیکربندی احراز هویت بوسیله کلید ssh، شما باید کلید عمومی را در یک دایرکتوری خاص برروی سرور ابری قرار دهید. زمانیکه کاربر قصد اتصال به سرور را دارد، سرور از کاربر می پرسد که آیا کلید خصوصی را دارد؟ کلاینت ssh از کلید خصوصی برای تایید اینکه کاربر دارای صلاحیت است استفاده می کند. سپس سرور به کلاینت اجازه می دهد تا بدون کلمه عبور به سرور ابری متصل گردد.
چگونه باعث افزایش امنیت در سرور ابری می گردد؟
بوسیله ssh، هرگونه احراز هویتی شامل احراز هویت کلمه عبور به صورت کاملا رمز گزاری شده انجام می شود. اگرچه زمانی که احراز هویت با کلمه عبور مجاز باشد، کاربران مخرب می توانند به صورت مکرر برای دسترسی به سرور تلاش کنند، بوسیله قدرت پردازشی جدید امکان دستیابی به کلمه عبور درست با ترکیبات و تلاش زیاد وجود دارد.
راه اندازی احراز هویت با کلید ssh به شما اجازه می دهد تا احراز هویت بر اساس کلمه عبور را غیر فعال کنید. به طور کلی کلیدهای ssh دارای بیتهای بیشتری از داده، نسبت به کلمه عبور هستند، به این معنی که به طور قابل ملاحظه ای ترکیبات بیشتری وجود دارد تا یک هکر بخواهد آن ها را آزمایش کند. الگوریتمهای کلید ssh به علت اینکه نیاز به زمان بیشتری برای احتمال تطابق دارند، غیر قابل شکست محسوب می شوند حتی با پیشرفته ترین سخت افزارهای محاسباتی.
پیاده کردن آن چقدر سخت است؟
راه اندازی کلیدهای ssh خیلی راحت هستند و روش توصیه شدهای برای ورود به سرور ابری لینوکس و یونیکس به صورت از راه دور میباشد. یک جفت کلید ssh میتواند روی سیستم شما ایجاد شود و شما میتوانید کلید عمومی را در ظرف چند دقیقه به سرورهای ابری خود منتقل کنید.
اگر شما همچنان قصد دارید تا از احراز هویت با کلمه عبور استفاده کنید میتوانید از راه حلی مثل fail2ban استفاده کنید تا حدس زدن کلمه عبور را محدود کنید.
فایروال
فایروال نرم افزاری می باشد که سرویس هایی که روی شبکه باید نمایش داده شوند را کنترل می کند. به این معنی که روی هر پورتی دسترسی یا محدودیت ایجاد کند به غیر از پورت هایی که باید به صورت عمومی نمایش داده شوند.
روی یک سرور ابری معمولی به صورت پیشفرض سرویس هایی در حال اجرا هستند. اینها میتوانند به صورت زیر دسته بندی شوند:
- سرویس های عمومی که بوسیله هر کسی روی اینترنت قابل دسترس هستند. یک مثال خوب برای آن یک وب سرور است که اجازه دسترسی به سایت شما را می دهد.
- سرویس های خصوصی که فقط باید بوسیله کاربران تایید شده یا مکان های مشخص قابل دسترس باشند. بعنوان مثال کنترل پنل دیتابیس
- سرویس های داخلی که باید فقط از داخل سرور قابل دسترس باشند، بدون اینکه از بیرون سرور دیده شوند. برای مثال سرویس دیتابیس که فقط کانکشن های داخلی را قبول می کند.
فایروال مطمئن می شود که دسترسی به نرم افزار شما بر اساس دسته بندی بالا محدود شده است.
سرویس های عمومی می توانند همچنان باز و برای هر کسی قابل دسترس باشند و سرویس های خصوصی می توانند بر اساس مناطق مختلف محدود شده باشند. سرویس های داخلی می توانند به صورت کامل غیر قابل دسترس شوند. برای پورت هایی که استفاده نمی شوند بهتر است که مسدود شده باشند.
فایروال چگونه باعث افزایش امنیت سرور ابری می شود؟
فایروال یک بخش ضروری از پیکربندی سرور ابری است. حتی اگر سرویس ها خودشان دارای ویژگیهای امنیتی یا محدود به یک رابط کاربری باشند که شما قصد اجرای آن را داشته باشید، یک فایروال به عنوان لایه امنیتی اضافی در نظر گرفته می شود.
یک فایروال پیکربندی شده دسترسی به هر چیزی را محدود میکند به غیر از سرویس های مشخصی که شما نیاز داشته باشید تا پورت آن همچنان باز باشد. قسمتی از برنامه حملات به سرور ابری شما را کاهش و باعث محدود شدن آسیب پذیری روی اجزای آن می شود.
پیاده سازی فایروال چقدر سخت است؟
فایروال های زیادی برای سیستم های لینوکسی در دسترس میباشد، یادگیری بعضی از آنها نسبت به بقیه سخت تر است. در حالت کلی راه اندازی فایروال چند دقیقه زمان میبرد که فقط در زمان راه اندازی اولیه سرور یا زمانی که شما قصد نصب و پیکربندی سرویس هایی را روی سیستم خود دارید اتفاق می افتد.
سادهترین انتخاب فایروال UFW است. انتخابهای دیگر iptables یا فایروال CSF میباشد.
شبکه مجازی خصوصی
شبکه های خصوصی، شبکه هایی هستند که فقط قابل دسترس برای کاربران یا سرورهای خاصی هستند. برای مثال شبکه های خصوصی ابر زس یک ارتباط ایزوله ای را بین سرورهای موجود در یک پروژه ایجاد خواهند کرد. یک شبکه مجازی خصوصی، راهی برای ایجاد ارتباطات امن بین سرور و کلاینت می باشد. این روش یک پیکربندی برای سرویس های شما که روی شبکه خصوصی هستند فراهم میکند.
شبکه مجازی خصوصی چگونه باعث افزایش امنیت می شود؟
استفاده از شبکه خصوصی بجای عمومی برای ارتباطات داخلی همیشه اولویت بیشتر را در هنگام انتخاب بین آن دو میدهد.
ارتباطات به صورت کاملا خصوصی میباشد. برنامه های دیگر جهت عبور ترافیک برروی رابط کاربری مجازی میتوانند پیکربندی شوند. در این روش تنها سرویس هایی که توسط کلاینت روی اینترنت باید قابل دسترس باشند روی شبکه عمومی قرار می گیرند.
پیاده سازی آن چقدر سخت است؟
در زمان خرید سرویس دیتاسنتر ابری شبکه خصوصی در آن وجود دارد و شما به راحتی میتوانید شبکه های خصوصی دیگری را ایجاد و از آنها استفاده نمایید. در این حالت شما میتوانید فایروال خود را برای آن تنظیم نمایید. به یاد داشته باشید که هر سروری روی شبکه خصوصی باشد توسط دیگر سرورهای موجود روی آن شبکه قابل دسترس است.
ادامهی مقاله در بخش دوم به شما دوستان عزیز تقدیم میگردد.
با تشکر
کامنت ها