Trang chủ Thủ Thuật Máy chủ đám mây của bạn có cần tường lửa không?

Máy chủ đám mây của bạn có cần tường lửa không?

0
10
Firewall illustration

Máy chủ đám mây của bạn có cần tường lửa không?

Firewall illustration
Shutterstock / Anatolir

Tường lửa là một tiện ích mạng chạy trên máy chủ của bạn và ngăn người ngoài sử dụng một số cổng nhất định. Điều này làm cho nó trở thành một công cụ bảo mật hữu ích để ngăn chặn những kẻ tấn công truy cập vào các quy trình mà chúng không nên làm. Máy chủ của bạn có cần một cái không?

Chỉ mở các cổng bạn cần, tường lửa cho phần còn lại

Các dịch vụ bạn chạy trên máy chủ của mình kết nối với thế giới bên ngoài thông qua các cổng . Mỗi cổng có một số và dịch vụ sẽ lắng nghe các kết nối trên số cổng đó. Đây không phải lúc nào cũng là một rủi ro bảo mật, vì bạn thường cần mở các cổng để người dùng truy cập vào dịch vụ của bạn.

Cổng 80 và 443 là cổng mặc định cho HTTP và HTTPS. Nếu bạn đang chạy một máy chủ web, những máy chủ này cần phải được mở. Cổng 22 có thể sẽ được mở trên bất kỳ bản cài đặt Linux mới nào, vì đó là cổng SSH mặc định. Bạn có thể đóng cổng này, nhưng bạn sẽ cần chuyển SSH sang một cổng khác (dù sao cũng là một ý kiến hay).

Không có tường lửa, bất kỳ dịch vụ nào khởi động kết nối sẽ được phép truy cập vào bất kỳ cổng nào theo mặc định. Tốt nhất nên xác định các quy tắc của bạn để ngăn điều này xảy ra và đảm bảo rằng không có gì bất ngờ đang chạy trên hệ thống của bạn. Đây chính xác là những gì tường lửa thực hiện — xác định các quy tắc về cách các quy trình trên máy chủ của bạn có thể giao tiếp với thế giới bên ngoài.

Để kiểm tra những cổng nào hiện đang mở trên hệ thống của bạn, bạn có thể chạy:

sudo netstat -plnt

Hoặc, nếu bạn muốn đầu ra ngắn gọn hơn:

sudo netstat -plnt | grep "NGHE" | awk '{print $ 4 " t" $ 7}'
Quảng cáo

Các lệnh này sẽ liệt kê ra từng cổng đang mở, cùng với quá trình nào đang sử dụng cổng đó. Netstat chỉ hiển thị PID và tên tệp của quá trình, vì vậy nếu bạn cần đường dẫn đầy đủ, bạn sẽ phải chuyển PID đến lệnh ps Nếu bạn cần quét các cổng mà không cần truy cập vào máy chủ, bạn có thể sử dụng nmap tiện ích phía máy khách.

Bất kỳ thứ gì khác không được sử dụng cụ thể để lưu trữ một dịch vụ phải được đóng bằng tường lửa.

Nếu mọi thứ đang chạy trên hệ thống của bạn được cho là mở, bạn có thể không cần tường lửa. Nhưng nếu không có một cổng, bất kỳ cổng nào không sử dụng đều có thể dễ dàng mở ra bởi một quy trình mới mà bạn cài đặt. Bạn sẽ cần đảm bảo rằng mọi dịch vụ mới không cần phải bị khóa.

Không chạy dịch vụ của bạn trên các IP công cộng ngay từ đầu

Prevent services being accessible by everyone prevent by locking down connections to your virtual private cloud.

Tường lửa là một công cụ bảo mật tuyệt vời, nhưng cả thế giới không nên truy cập vào một số dịch vụ nhất định. Nếu một cổng cần được mở, dịch vụ đó rất dễ bị tấn công vũ phu và các vấn đề khó chịu khác. Nhưng bạn có thể ngăn điều này xảy ra bằng cách khóa các kết nối với đám mây riêng ảo của mình.

Cơ sở dữ liệu là ví dụ điển hình cho điều này. Một cơ sở dữ liệu như MySQL cần phải có một cổng mở cho các kết nối quản trị. Nhưng nếu thứ duy nhất nói chuyện với cơ sở dữ liệu là máy chủ web của bạn (và bạn, khi bảo trì), bạn nên giữ MySQL ở chế độ riêng tư và chỉ cho phép nó nói chuyện với máy chủ web. Nếu bạn cần truy cập nó, bạn có thể SSH vào máy chủ web và truy cập phần còn lại của mạng từ đó.

Cách cấu hình tường lửa

Nếu bạn đang sử dụng dịch vụ lưu trữ được quản lý như Amazon Web Services hoặc Digital Ocean, nhà cung cấp của bạn có thể có tường lửa mà bạn có thể quản lý từ giao diện web. Nếu đây là một tùy chọn, bạn nên định cấu hình tường lửa của mình theo cách này.

Quảng cáo

Cụ thể, AWS buộc bạn phải sử dụng tường lửa của họ, được quản lý bằng các nhóm bảo mật. Tất cả các cổng đều được đóng theo mặc định (lưu cho cổng 22), vì vậy bạn sẽ cần phải mở chúng theo cách thủ công từ giao diện của chúng. Bạn có thể chỉnh sửa các nhóm bảo mật cho bất kỳ phiên bản nào đang chạy từ Bảng điều khiển quản lý EC2 và sửa đổi các quy tắc đến.

In AWS, you can edit the security groups for any running instance from the EC2 Management Console and modify Inbound groups

AWS cho phép bạn chỉ định nguồn cho quy tắc, vì vậy, chẳng hạn như bạn có thể khóa SSH xuống chỉ địa chỉ IP cá nhân của mình hoặc đặt kết nối giữa máy chủ cơ sở dữ liệu và máy chủ web của bạn ở chế độ riêng tư.

LIÊN QUAN: Hướng dẫn cho Người mới bắt đầu về iptables, Tường lửa Linux

Nếu bạn đang sử dụng các nhà cung cấp khác như Linode hoặc lưu trữ thông thường, bạn sẽ cần tự định cấu hình tường lửa. Đối với điều này, phương pháp đơn giản nhất là sử dụng tiện ích iptables

Nếu bạn đang chạy một máy chủ Windows, bạn sẽ cần phải định cấu hình Tường lửa Windows được đặt tên phù hợp, bạn có thể thực hiện điều này từ Bảng điều khiển quản lý Windows hoặc bằng cách sử dụng netsh .

How to Index Your Docker Image’s Dependencies With Syft

Cách lập chỉ mục sự phụ thuộc của hình ảnh Docker của bạn với Syft

What Is “Inner Source” Development and Should You Be Using It?

Phát triển “Nguồn bên trong” là gì và bạn có nên sử dụng nó không?

What’s New In C# 10?

Có gì mới trong C # 10?

Should You Use HTTPS or SSH For Git?

Bạn nên sử dụng HTTPS hay SSH cho Git?

How to Mount or Symlink a Single File in a Docker Container

Cách gắn kết hoặc liên kết biểu tượng một tệp duy nhất trong vùng chứa Docker

How to Mount or Symlink a Single File in a Docker Container

Cách kiểm tra nội dung của hình ảnh Docker mà không cần khởi động vùng chứa

Dịch từ: https://www.cloudsavvyit.com/964/does-your-cloud-server-need-a-firewall/

Hãy giúp chúng tôi đánh giá bài viết này!

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây