AWS EC2 是 AWS 最受歡迎和使用最廣泛的服務(wù)之一。在本文中,了解一些有助于安全配置我們的 EC2 實(shí)例的方法。
Ayush Priya 的這篇文章最初發(fā)表在Kloudle 博客上。
AWS 的 Elastic Compute Cloud(通常稱為 EC2)是一項(xiàng)服務(wù),允許組織啟動可用于托管和運(yùn)行應(yīng)用程序、數(shù)據(jù)庫等的虛擬機(jī)。EC2 實(shí)例具有多種選項(xiàng),從選擇 CPU 內(nèi)核數(shù)量到磁盤空間、內(nèi)存和操作系統(tǒng)等等。EC2 服務(wù)還包含不同的配置選項(xiàng)和設(shè)置,供實(shí)例使用。本叔說過,“能力越大,責(zé)任越大”,在這種情況下,有很多設(shè)置可供選擇,就會出現(xiàn)很多錯誤配置。因此,本文將介紹如何安全地配置我們的 EC2 實(shí)例。
EC2 實(shí)例的安全配置
盡管這不是為保護(hù)您的實(shí)例而采取的詳盡操作列表,但這些配置是一個很好的起點(diǎn),因?yàn)樗鼈円子诶斫夂蛯?shí)施。隨著人們熟悉 AWS 及其各種其他服務(wù),可以采取其他(高級)措施來進(jìn)一步加強(qiáng) EC2 實(shí)例的安全性。目前,我們將堅(jiān)持直接適用于 EC2 實(shí)例的安全設(shè)置列表。
啟用 IMDSv2
實(shí)例元數(shù)據(jù)服務(wù) (IMDS) 提供有關(guān)實(shí)例的信息以及與其關(guān)聯(lián)的各種參數(shù),例如在啟動時指定的用戶數(shù)據(jù)。IMDSv1 將憑證存儲在端點(diǎn)中,可以檢索這些憑證,然后使用這些憑證通過 AWS CLI 執(zhí)行操作。在憑據(jù)被滲透的情況下,這可能是毀滅性的。因此,引入了 IMDSv2 來阻止針對濫用元數(shù)據(jù)端點(diǎn)的各種攻擊。IMDSv2 使用會話但不將會話令牌作為信息存儲在端點(diǎn)本身中,因此在后續(xù)調(diào)用中生成令牌后無法檢索令牌。
通過控制臺為新實(shí)例啟用 IMDSv2
啟動實(shí)例時,在“配置實(shí)例詳細(xì)信息”頁面下,導(dǎo)航到“高級詳細(xì)信息”部分,然后:
- 為“元數(shù)據(jù)可訪問”選項(xiàng)選擇“啟用”。
- 為“元數(shù)據(jù)版本”選項(xiàng)選擇“V2(需要令牌)”。
使用 AWS CLI 為新實(shí)例啟用 IMDSv2
要在使用 AWS CLI 啟動實(shí)例時啟用 IMDSv2,請?jiān)诿钪惺褂靡韵聵?biāo)志:
aws ec2 run-instances --image-id \--metadata-options "HttpEndpoint=enabled,HttpTokens=required"
使用 AWS CLI 為現(xiàn)有實(shí)例啟用 IMDSv2
運(yùn)行以下 AWS CLI 命令以修改實(shí)例并啟用 IMDSv2:
aws ec2 modify-instance-metadata-options --instance-id --http-tokens required --http-endpoint enabled
實(shí)施最小許可安全組規(guī)則
安全組是定義允許的入站和出站可訪問性以及從實(shí)例到各種其他資源、在公共互聯(lián)網(wǎng)上以及在 VPC 內(nèi)的防火墻。重要的是要確保我們只公開在實(shí)例上運(yùn)行的那些需要的服務(wù),并將訪問權(quán)限限制在需要它的用戶/組。為此,我們需要添加盡可能明確的安全組規(guī)則。例如,不使用 0.0.0.0/0 作為 SSH 協(xié)議的允許源,我們可以指定需要訪問實(shí)例的團(tuán)隊(duì)明確使用的通用 VPN 作為源。
AWS 有大量文檔用于創(chuàng)建和管理可用的安全組和規(guī)則。
定期修補(bǔ)
修補(bǔ)是指將軟件更新應(yīng)用到操作系統(tǒng)以進(jìn)行性能升級、錯誤修復(fù)和由維護(hù)操作系統(tǒng)的供應(yīng)商發(fā)布的安全修復(fù)的活動。
修補(bǔ)的步驟因操作系統(tǒng)而異,但基本思路是相同的:使用操作系統(tǒng)的機(jī)制檢查是否有可用的補(bǔ)丁/更新并應(yīng)用它。某些補(bǔ)丁程序還需要重新啟動系統(tǒng),盡管情況并非總是如此。
例如,可以執(zhí)行以下步驟來修補(bǔ)運(yùn)行 Ubuntu 18.04 作為操作系統(tǒng)的 EC2 實(shí)例:
- SSH 進(jìn)入 EC2 實(shí)例
- 運(yùn)行sudo apt update。
- 運(yùn)行sudo apt upgrade。
- 運(yùn)行sudo reboot。
使用 SSM 代理并行修補(bǔ)多臺計算機(jī)
如果我們處理的實(shí)例數(shù)量很少,手動應(yīng)用補(bǔ)丁就可以了;比如說,10。但在大多數(shù)現(xiàn)實(shí)生活中,這個數(shù)字通常比這個大,因此手動修補(bǔ)成為一項(xiàng)相當(dāng)艱巨的任務(wù)。值得慶幸的是,AWS 有一項(xiàng)名為 Systems Manager 的服務(wù),簡稱 SSM。SSM 可以同時在多臺機(jī)器上執(zhí)行命令,省去了一次手動訪問一臺機(jī)器的麻煩,使其成為一個非常有用的工具。
“如何在云上修補(bǔ) Pwnkit 漏洞 (CVE-2021-4034)”在“使用 SSM 修補(bǔ) AWS 和 GCP 上的多臺機(jī)器 > AWS”部分下解釋了如何使用 AWS SSM 修補(bǔ)多個 EC2 服務(wù)器。
為 EBS 卷啟用定期備份
存儲在 EC2 實(shí)例上的數(shù)據(jù)應(yīng)定期備份,以避免因磁盤故障、數(shù)據(jù)損壞等導(dǎo)致數(shù)據(jù)丟失問題。AWS Data Lifecycle Manager 是一項(xiàng)服務(wù),可用于創(chuàng)建備份計劃以自動備份我們的 EBS 卷.
通過 AWS 控制臺啟用定期備份
要從控制臺使用 Amazon Data Lifecycle Manager 啟用定期備份,請執(zhí)行以下步驟:
- 導(dǎo)航到 EC2 詳細(xì)信息頁面,然后選擇“Elastic Block Storage”子菜單下的“Lifecycle Manager”鏈接。
- 選擇“EBS 快照策略”并單擊“下一步”按鈕。
- 選擇目標(biāo)資源類型(Volume 或 Instance),并指定標(biāo)簽來標(biāo)識選擇的資源類型。單擊“添加”按鈕。
- 添加備份策略的描述。
- 為策略添加必要的標(biāo)簽。
- 確保在“策略狀態(tài)”部分中選擇了“啟用”選項(xiàng),然后單擊“下一步”按鈕。
- 根據(jù)要求添加備份計劃的詳細(xì)信息。理想情況下,建議每天備份一次。
- 向下滾動并單擊“查看政策”按鈕。
- 最后,單擊“創(chuàng)建策略”按鈕以創(chuàng)建備份策略和計劃。
使用 AWS CLI 啟用定期備份
要使用帶有 AWS CLI 的 Amazon Data Lifecycle Manager 啟用定期備份,請執(zhí)行以下步驟:
- 創(chuàng)建一個名為 policy.json 的文件,并根據(jù)需要在替換配置的文件中添加以下內(nèi)容。
{“資源類型”:[“體積”],“目標(biāo)標(biāo)簽”:[{"Key": "createdBy",“價值”:“阿尤什”}],“時間表”:[{"名稱": "每日快照",“復(fù)制標(biāo)簽”:是的,“添加標(biāo)簽”:[{“鍵”:“類型”,“價值”:“我的每日快照”}],“創(chuàng)建規(guī)則”:{“間隔”:24,“間隔單位”:“小時”,《時代》:[“03:00”]},“保留規(guī)則”:{“計數(shù)”:5}}]}
- 獲取將用于為 EBS 卷創(chuàng)建備份的 IAM 角色的 ARN。
- 最后,運(yùn)行以下 AWS CLI 命令:
aws dlm create-lifecycle-policy --description "My first policy" --state ENABLED --execution-role-arn --policy-details file:///path/to/policy.json
加密 EBS 卷
EBS 卷應(yīng)該被加密,以確保它們持有的數(shù)據(jù)不會被可能已獲得該卷訪問權(quán)限的未經(jīng)授權(quán)的實(shí)體讀取或?yàn)E用。我們可以啟用配置以在創(chuàng)建時默認(rèn)對所有 EBS 卷強(qiáng)制加密。
通過控制臺啟用加密
要使用 AWS CLI 為 AWS 賬戶啟用默認(rèn)加密,可以使用以下步驟:
- 導(dǎo)航到 EC2 儀表板頁面并單擊“EBS 加密”鏈接。
- 選中“始終加密新 EBS 卷”設(shè)置的復(fù)選框“啟用”,然后單擊“更新 EBS 加密”按鈕。
使用 AWS CLI 啟用加密
要使用 AWS CLI 為 AWS 賬戶默認(rèn)啟用加密,可以使用以下命令:
aws ec2 enable-ebs-encryption-by-default
補(bǔ)充說明
上述配置會加密在賬戶中創(chuàng)建的新 EBS 卷。要加密現(xiàn)有的卷,AWS 的文檔可以作為參考。
加密 EBS 快照
EBS 快照用作 EBS 卷的備份,可用于恢復(fù)實(shí)例狀態(tài)、從備份中啟動新實(shí)例等。由于 EBS 快照本質(zhì)上等同于 EBS 卷本身,因此確保快照及其加密對應(yīng)的 EBS 卷是必要的。
EC2 快照的一個很好的特性是,當(dāng)為加密卷創(chuàng)建快照時,默認(rèn)情況下該快照也會被加密。這消除了對啟用 EBS 加密設(shè)置后創(chuàng)建的快照的加密需求,我們在上一節(jié)中配置了加密 EBS 卷。話雖如此,可能存在我們需要加密的未加密舊快照,這可以通過創(chuàng)建未加密快照的副本來完成。對于新復(fù)制的快照,我們將啟用加密。
通過控制臺為快照啟用加密
要通過控制臺為現(xiàn)有的未加密快照啟用加密,可以執(zhí)行以下步驟:
- 導(dǎo)航到 EC2 儀表板。
- 單擊“Elastic Block Storage”子菜單下的“Snapshots”鏈接。
- 選擇要為其制作加密副本的快照,單擊“操作”下拉菜單,然后單擊“復(fù)制快照”選項(xiàng)。
- 在“復(fù)制快照”頁面中,確保選中“加密”部分下的“加密此快照”復(fù)選框,然后單擊“復(fù)制快照”按鈕。
- 或者,可以選擇不同的 KMS 密鑰來代替默認(rèn)密鑰。
使用 AWS CLI 為快照啟用加密
要使用 AWS CLI 為現(xiàn)有快照啟用加密,可以運(yùn)行以下命令:
aws ec2 copy-snapshot --source-region --source-snapshot-id --encrypted --kms-key-id
使用可信 AMI
Amazon 系統(tǒng)映像或 AMI 是 EC2 實(shí)例的啟動配置包,需要在啟動實(shí)例時指定。這些 AMI 可以由任何人創(chuàng)建,并與特定的 AWS 賬戶共享,或者通過將其公開來與所有人共享。這可能導(dǎo)致共享惡意 AMI 的可能性。因此,作為一項(xiàng)安全措施,我們應(yīng)該為我們的實(shí)例自己創(chuàng)建和使用 AMI,或者使用僅由受信任的供應(yīng)商發(fā)布的公共 AMI。Amazon linux Image 就是這樣一種受信任的 AMI,它由 Amazon 自己創(chuàng)建和維護(hù)。其他鏡像也可以信任,盡管基于供應(yīng)商,而不是名稱,例如,可以創(chuàng)建鏡像并將其命名為 Ubuntu,但發(fā)布者實(shí)際上可能與維護(hù)和發(fā)布 Ubuntu 操作系統(tǒng)的 Canonical Group 沒有關(guān)聯(lián)。
在啟動映像時選擇的 AMI 并不完全是與實(shí)例關(guān)聯(lián)的配置,因此在此安全措施的情況下無需采取特定步驟。正在使用的 AMI 需要在使用前和啟動實(shí)例時進(jìn)行信任審查:
- 使用控制臺,需要從現(xiàn)有的可用列表中選擇 AMI。
- 使用 AWS CLI,需要提供適當(dāng)?shù)?AMI ID 來啟動實(shí)例。
利用 IAM 角色允許實(shí)例使用 AWS 資源
IAM 角色用于委派權(quán)限以對 AWS 資源執(zhí)行操作并執(zhí)行其所需角色。當(dāng) IAM 角色附加到 EC2 實(shí)例時,稱為實(shí)例角色,服務(wù)器可以使用該實(shí)例角色執(zhí)行允許的操作;例如,將本地備份上傳到 S3 存儲桶。
最小權(quán)限訪問是一種安全最佳實(shí)踐,我們添加角色(或在其他情況下,IAM 用戶)執(zhí)行其工作所需的確切權(quán)限。將此原則應(yīng)用于附加到實(shí)例的 IAM 角色,僅應(yīng)將實(shí)例執(zhí)行其作業(yè)所需的權(quán)限添加到實(shí)例角色中,而不是其他任何內(nèi)容。這可確保在憑據(jù)泄露的情況下,將損害降至最低。
為 IAM 角色配置最低權(quán)限是非常上下文相關(guān)的;即,它不能一概而論。因此,提供實(shí)例和各種用例可以使用的不同可能權(quán)限組合的詳盡列表超出了本文的范圍。
使用 VPC 和子網(wǎng)隔離機(jī)器
虛擬私有云
Virtual Private Cloud 或 VPC 是一種 AWS 服務(wù),允許用戶創(chuàng)建邏輯上相互隔離的虛擬網(wǎng)絡(luò)。具體來說說EC2實(shí)例,舉個例子,我們可以想到一些EC2實(shí)例只需要訪問內(nèi)部資源,不需要訪問互聯(lián)網(wǎng)的情況。對于此類實(shí)例,我們可以創(chuàng)建一個不允許來自 Inte.NET 的入站和出站連接的 VPC,因此只能在同一 VPC 中的資源之間進(jìn)行通信。AWS 的文檔可用于了解如何創(chuàng)建新的 VPC。
通過控制臺創(chuàng)建 VPC
執(zhí)行以下步驟以創(chuàng)建新的 VPC:
- 導(dǎo)航到 VPC 管理頁面。
- 單擊“啟動 VPC 向?qū)?rdquo;按鈕。
- 選擇“具有單個公共子網(wǎng)的 VPC”選項(xiàng),然后單擊“選擇”按鈕。如果我們愿意,我們可以稍后添加更多子網(wǎng)。
- 為 VPC 提供 IPv4 CIDR 塊,然后單擊“創(chuàng)建 VPC”按鈕。
使用 AWS CLI 創(chuàng)建 VPC
運(yùn)行以下命令創(chuàng)建一個新的 VPC,指定的 CIDR 為 192.168.0.0/16:
aws ec2 create-vpc --cidr-block 192.168.0.0/16
子網(wǎng)
子網(wǎng)是 VPC 中的子組件,可以在較小的虛擬網(wǎng)絡(luò)中進(jìn)一步隔離資源。例如,使用 CIDR 塊 192.168.0.0/16 創(chuàng)建的 VPC 可以具有子網(wǎng) 192.168.1.0/24 和 192.168.2.0/24,其中兩個子網(wǎng)位于同一個 VPC 中,但彼此隔離。
通過控制臺創(chuàng)建子網(wǎng)
執(zhí)行以下步驟以創(chuàng)建新的 VPC:
- 導(dǎo)航到 VPC 管理頁面。
- 單擊“虛擬私有云”菜單的“子網(wǎng)”鏈接。
- 單擊“創(chuàng)建子網(wǎng)”按鈕。
- 選擇 VPC 以在其中創(chuàng)建子網(wǎng)。
- 添加子網(wǎng)的 CIDR 塊以及可選的名稱和標(biāo)簽。
- 最后,單擊“創(chuàng)建子網(wǎng)”按鈕。
使用 AWS CLI 創(chuàng)建子網(wǎng)
運(yùn)行以下命令在 CIDR 塊 192.168.1.0/24 內(nèi)創(chuàng)建新子網(wǎng):
aws ec2 create-subnet --vpc-id --cidr-block 192.168.1.0/24
為實(shí)例啟用詳細(xì)監(jiān)控
默認(rèn)情況下,EC2 實(shí)例從啟動時就已進(jìn)行基本監(jiān)控。基本監(jiān)控固然不錯,但往往不夠。這里提供了對 EC2 實(shí)例的詳細(xì)監(jiān)控,例如 CPU 信用指標(biāo)、實(shí)例指標(biāo)等。
通過控制臺啟用詳細(xì)監(jiān)控
執(zhí)行以下步驟以通過控制臺啟用對 EC2 實(shí)例的詳細(xì)監(jiān)控:
- 導(dǎo)航到 EC2 儀表板。
- 選擇需要開啟詳細(xì)監(jiān)控的實(shí)例。點(diǎn)擊“操作”下拉菜單,在“監(jiān)控和故障排除”子菜單下選擇“管理詳細(xì)監(jiān)控選項(xiàng)”。
- 確保選中“啟用”復(fù)選框,然后單擊“保存”按鈕。
使用 AWS CLI 啟用詳細(xì)監(jiān)控
運(yùn)行以下 AWS CLI 命令以啟用對現(xiàn)有實(shí)例的詳細(xì)監(jiān)控:
aws ec2 monitor-instances --instance-ids
運(yùn)行以下 AWS CLI 命令以在啟動新實(shí)例時啟用詳細(xì)監(jiān)控:
aws ec2 run-instances --image-id --monitoring Enabled=true #Amongst other options/flags
結(jié)論
EC2 是 AWS 提供的一項(xiàng)廣泛使用的服務(wù),用于運(yùn)行我們的應(yīng)用程序等等。憑借其廣泛的可用性列表,還有一長串適用于這些實(shí)例的選項(xiàng),這可能導(dǎo)致錯誤配置或使用不安全的默認(rèn)配置。
在本文中,我們了解了我們可以采取的各種安全措施來保護(hù)我們的 EC2 實(shí)例,其中一些是通過直接在 EC2 實(shí)例上應(yīng)用設(shè)置,例如使用受信任的 AMI 或啟用 IMDSv2,還有一些與實(shí)例切線一致,例如使用 VPC 將各種實(shí)例相互隔離或加密 EBS 卷和快照。在所有這些情況下,我們看到了為什么強(qiáng)烈建議使用這些配置,如果不是完全強(qiáng)制應(yīng)用的話。
