LINUX ON AZURE 安全建议(上)
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了LINUX ON AZURE 安全建议(上)相关的知识,希望对你有一定的参考价值。
本文为个人原创,可以自由转载,转载请注明出处,多谢!
本文地址:http://www.cnblogs.com/taosha/p/6399554.html
1.1 概述介绍
Linux系统是全世界最流行的服务器操作系统之一,采用开源方式,灵活方便,版本更新快,但是因为分支较多,免费的社区版本非商业运作,缺少售后服务和安全保障,安全漏洞较多,这是困扰很多Linux用户的一大难题。
微软云计算平台----Windows Azure(简称Azure)运行了大量的Linux虚机,如何保障这些云端服务器的安全性是一个比较热门的技术话题,本文主要针对Linux on Azure 安全加固和最佳实践方面给出一些建议。
1.2 适用范围
本文主要针对Linux on Azure进行讨论,Linux自身安全加固手段不全部包含在本文中,Linux自身加固大部分在Linux on Azure上均为通用,本文主要是结合Azure平台的设计特性来讨论安全加固问题。
1.3 免责声明
本文为安全加固建议书,供客户参考,不对客户真实环境做出任何安全承诺。
2 重要的第一步—网络安全规划
网络安全规划的工作是所有安全加固的基础,仔细规划Linux虚机所处网络以及未来需要和这台虚机进行通讯的内部、外部以及来自Internet的机器,有助于后期设置相关的安全策略。
2.1 VNet概念
Azure 虚拟网络 (VNet) 是用户自己的网络在云中的表示形式。它是对专用于用户订阅的 Azure 云进行的逻辑隔离。用户可以完全控制该网络中的 IP 地址块、DNS 设置、安全策略和路由表。你还可以进一步将 VNet 细分成各个子网,设置不同的NSG(网络安全组,会在后面专题讨论)。
2.2 VNet优点和特点
隔离。VNet 彼此之间完全隔离。这使你可以为使用相同 CIDR 地址块的开发、测试和生产创建单独的网络。
访问公共 Internet。默认情况下,VNet 中的所有 IaaS VM 和 PaaS 角色实例都可以访问公共 Internet。可以通过使用网络安全组 (NSG) 来控制访问。
访问 VNet 中的 VM。PaaS 角色实例和 IaaS VM 可以在同一虚拟网络中启动,并可使用专用 IP 地址互相连接(即使它们位于不同子网),而无需配置网关或使用公共 IP 地址。
名称解析。Azure 为部署在 VNet 中的 IaaS VM 和 PaaS 角色实例提供内部名称解析。你还可以部署自己的 DNS 服务器,并将 VNet 配置为使用这些服务器。
安全性。进出虚拟机的流量以及 VNet 中的 PaaS 角色实例都可使用网络安全组进行控制。
连接。可以使用网关或 VNet 对等互连使 VNet 相互连接。VNet 可以通过站点到站点 VPN 网络或 Azure ExpressRoute 连接到本地数据中心。
2.3 子网和NSG规划
在以下情况下,你应考虑在 VNet 中创建多个子网:
用于子网中的所有 NIC 的专用 IP 地址不足。如果你的子网地址空间未包含子网中的 NIC 数所对应的足够 IP 地址,则需要创建多个子网。请记住,Azure 保留每个子网中的 5 个专用 IP 地址,这些 IP 地址不能使用:地址空间的第一个和最后一个地址(用于子网地址和多播)和 3 个要内部使用的地址(用于 DHCP 和 DNS 目的)。
安全性。你可以使用子网将 VM 组彼此分离以用于具有多层结构的工作负荷,并对这些子网应用不同的网络安全组 (NSG)。
混合连接。你可以使用 VPN 网关和到 ExpressRoute 线路来将 VNet 彼此连接,并连接到本地数据中心。VPN 网关和 ExpressRoute 线路需要创建其自己的子网。
虚拟设备。可以在 Azure VNet 中使用虚拟设备,如防火墙、WAN 加速器或 VPN 网关。这样做时,需要路由流量到这些设备,并将其隔离在它们自己的子网中。
2.5 规划考虑的问题(建议)
ü 你将使用哪些 Azure 位置来托管 VNet?
ü 你是否需要在这些 Azure 位置之间提供通信?
ü 你是否需要在 Azure VNet 和在本地数据中心之间提供通信?
ü 你需要将多少基础结构即服务 (IaaS) VM、云服务角色和 Web 应用用于你的解决方案?
ü 是否需要基于 VM 组(即前端 Web 服务器和后端数据库服务器)隔离流量?
ü 是否需要使用虚拟设备来控制数据流?
ü 用户对于不同 Azure 资源是否需要不同权限控制?
2.4 子网和 NSG 设计模式
下表显示了使用子网的一些常用设计模式。
方案 |
优点 |
缺点 |
每个应用每个应用程序层单个子网、多个 NSG |
只需要管理一个子网。 |
要隔离每个应用程序,需要多个 NSG。 |
每个应用一个子网,每个应用程序层多个 NSG |
需要管理更少 NSG。 |
需要管理多个子网。 |
每个应用程序层一个子网,每个应用多个 NSG。 |
在子网数和 NSG 数之间取得平衡。 |
最多 100 个 NSG。如果每个应用需要 2 个不同的 NSG,则为 50 个应用。 |
每个应用每个应用程序层一个子网,每个子网多个 NSG |
可能 NSG 数更少。 |
需要管理多个子网。 |
2.5 规划原则
ü 根据应用设计情况,尽可能减少VNet和子网数量;
ü 每个应用程序彼此完全隔离;
ü 推荐每个应用程序层一个子网,每个应用多个 NSG的方式。
2.6 网络规划示范
如上图所示,独立完整的应用(前后端)部署在一个VNet中,将应用层,数据层的部署在不同的子网,设置不同的NSG或者ACL(访问控制)。
3 Linux软件安装
3.1 安装步骤
图示 |
通过Portal创建虚拟机
|
选择密钥或者密码方式,密钥方式可以用Putty去生成密钥对,如果用密码请使用复杂密码且不易猜到或易被暴力破解的密码。 用SSH key可以增加安全性。 |
|
设置NSG,类似于外部防火墙,也可以后期根据情况再调整,如前文所述,NSG设置与网络规划关系比较大 |
最后查看一下Summary,没有问题点击OK创建虚机
|
3.2 查看已安装软件和进程等
查看已经安装的软件列表:
dpkg -l
查看当前进程:
ps -al
查看端口使用情况:
netstat -an
提示:停止并删除不需要的软件
未完待续
以上是关于LINUX ON AZURE 安全建议(上)的主要内容,如果未能解决你的问题,请参考以下文章
这指南我可以用10年!史上最全Linux系统安全强化指南(最强干货,建议收藏!)
安全扫描扫到服务器的SSL存在隐患,建议禁用SSL,启用TLS,这个在WINDOWS和LINUX上,如何操作?
[译]在Linux上的提高MySQL/MariaDB安全性的12条建议