Усиление защиты системы в облачных сервисах

Предотвращение вторжений начинается с настройки вашего образа машины. По мере приобретения опыта вы сможете экспериментировать с различными конфигурациями и постоянно перестраивать ваши образы. Как только вы обнаружите конфигурацию, хорошо работающую для конкретного сервисного профиля, вы сможете предварительно усилить защиту системы перед развертыванием этого образа.

Процесс усиления защиты сервера заключается в блокировании ненужных сервисов и исключении пользовательских учетных записей, не имеющих важного значения. Намного повысить эффективность этого процесса могут инструменты наподобие Bastille Linux. Как только вы установите Bastille Linux, вы сможете выполнить интерактивные скрипты, задающие вам вопросы о вашем сервере. После того как вы ответите на все вопросы, скрипт блокирует сервисы и учетные записи, которые не являются абсолютно необходимыми для того, чтобы ваш сервер мог выполнять поставленные перед ним задачи. В частности, скрипт убедится в том, чтобы ваша система с усиленной безопасностью соответствовала следующим критериям.

± На сервере не работают никакие сетевые сервисы, кроме тех, которые абсолютно необходимы для поддержания функциональных возможностей, предоставляемых этим сервером.

± В системе заблокированы все пользовательские учетные записи, за исключением тех, которые нужны для предоставления доступа к серверу тем пользователям, которым он требуется, и более никому.

± Все конфигурационные файлы для всех программ, работающих на сервере, настроены так, чтобы обеспечивать наивысший уровень защищенности.

± Все необходимые сервисы работают от имени непривилегированных пользовательских учетных записей (например, MySQL должен запускаться от имени пользователя mysql, а не root).

± Всегда, когда это только возможно, сервисы должны работать в закрытой файловой системе (restricted filesystem), например в "тюрьме" chroot (chroot jail).

Прежде чем приступать к комплектации вашего машинного образа, вам необходимо удалить все интерактивные учетные записи пользователей и пароли, хранящиеся в конфигурационных файлах. Хотя машинный образ и хранится в зашифрованном формате, Amazon держит ключи шифрования, которые он может быть вынужден передать третьим сторонам по повестке из суда.

Источник: Риз Дж., Облачные вычисления: Пер. с англ. — СПб.: БХВ-Петербург, 2011. — 288 с.: ил.

Вы можете следить за любыми ответами на эту запись через RSS 2.0 ленту. Вы можете промотать до конца и оставить ответ. Pinging в настоящее время не допускается.

Оставьте отзыв

XHTML: Вы можете использовать следующие теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

 
Rambler's Top100