還在不久之前,設定邊界防火牆已經是最好的做法。要為伺服器做好分割區段實在太過複雜與高成本了。
但這一切都隨著軟體定義網路的出現及虛擬化技術和主機軟體的進步而改變。托托,我想我們已經不在堪薩斯了(註:綠野仙蹤內桃樂絲的台詞)!我們現在能夠實際地去應用Gartner報告內所討論到的分割(segmentation)和隔離(isolation)安全最佳實作。
從哪裡開始?
亞馬遜網路服務(AWS)提供強大而友善的方式來實施基本的網路ACL(存取控制列表)。ACL指的是控制哪些網路端口可以互相對談及跟外部網路連接。
AWS預設是全部禁止,意思是沒有端口會開啟,除非你有特別要求。理想上,你會開啟最低所需的端口,並且只開放給需要它們的資源。例如,你可以將網頁伺服器的端口80/443開放給所有網路,但你不該將它的RDP端口開放給外部網路…或是完全不要開放,如果可以的話。
就跟巫師一樣,AWS有個聰明的做法可以讓它變得更加容易。比方說我想保護一個有著網頁伺服器、應用伺服器和後端資料服務的三層架構應用程式:
AWS可以讓你定義安全群組,就如同給多個同類型虛擬機器的範本。為了讓它更加容易,讓規則集保持不大,你可以將安全群組連結在一起。例如,只允許從網頁伺服器層虛擬機器的443端口網路流量到應用程式層。聽起來很簡單,也的確是,但卻令人難以置信的強大。
如果再加上VPC(虛擬私有雲),你可以對各種架構運用豐富的分割(segmentation)和隔離(isolation)政策。AWS的架構中心有許多樣本可以幫助你去到翡翠城(註:綠野仙蹤內桃樂絲的目的地)。
這就夠了,對不對?
並不盡然。正如我們在之前的文章討論過,只進行分割和只開放所需端口通常是不夠的。像Shellshock、Heartbleed和其他威脅都發生在這些合法端口上。為了讓這些飛天猴(註:綠野仙蹤內的怪物軍團)遠離你的虛擬機器,你必須深入這些網路封包資料。入侵防禦系統(IPS)軟體可以確保進出你虛擬機器的網路流量沒有惡意企圖。 繼續閱讀