云原生-AWS EC2使用、安全性及国内厂商对比

这篇具有很好参考价值的文章主要介绍了云原生-AWS EC2使用、安全性及国内厂商对比。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。


本文通过实操,介绍了EC2的基本使用,并在功能、安全性上与其他厂商进行对比。

什么是EC2

EC2(Elastic Compute Cloud)是AWS云中的服务器,提供按需、可扩展的计算能力。本文以Linux为例。下图是EC2的位置。
云原生-AWS EC2使用、安全性及国内厂商对比,# 云原生安全,云原生,aws,云计算
Instance就是EC2,它被Security group(安全组)保护着,持久性存储使用了EBS( Elastic Block Store)。在安全组外面是子网,子网外面是VPC,VPC通过网关与外部通信。

启动一个EC2实例

名称随意,上面默认,创建一个密钥对。
云原生-AWS EC2使用、安全性及国内厂商对比,# 云原生安全,云原生,aws,云计算
云原生-AWS EC2使用、安全性及国内厂商对比,# 云原生安全,云原生,aws,云计算
点击启动实例,之后可以在控制台看到实例信息。
云原生-AWS EC2使用、安全性及国内厂商对比,# 云原生安全,云原生,aws,云计算

连接一个实例

前面为了快速创建,都是默认的,默认的安全组是不同的,需要先创建一个安全组,开通22端口。
云原生-AWS EC2使用、安全性及国内厂商对比,# 云原生安全,云原生,aws,云计算
添加入站规则
云原生-AWS EC2使用、安全性及国内厂商对比,# 云原生安全,云原生,aws,云计算
云原生-AWS EC2使用、安全性及国内厂商对比,# 云原生安全,云原生,aws,云计算
选择新建的安全组即可

控制台

云原生-AWS EC2使用、安全性及国内厂商对比,# 云原生安全,云原生,aws,云计算
云原生-AWS EC2使用、安全性及国内厂商对比,# 云原生安全,云原生,aws,云计算
云原生-AWS EC2使用、安全性及国内厂商对比,# 云原生安全,云原生,aws,云计算

ssh

给密钥权限后使用ssh登录即可。
云原生-AWS EC2使用、安全性及国内厂商对比,# 云原生安全,云原生,aws,云计算

Security groups

安全组是云服务器级别的防火墙,一个云服务器可以绑定多个安全组,一个安全组也可以被多个云服务器绑定。安全组由入站规则和出站规则组成。

规则

规则主要由以下字段组成:

  • 协议:允许的协议。最常见的协议是 6 (TCP)、17 (UDP) 和 1 (ICMP)。
  • 端口范围:对于 TCP、UDP 或自定义协议,允许的端口范围。您可以指定单个端口号(例如22)或端口号范围(例如 7000-8000)或all。
  • 源或目标:允许的流量的源(入站规则)或目标(出站规则)。指定以下选项之一:
    • 单个 IPv4 地址。您必须使用/32前缀长度。例如, 203.0.113.1/32。
    • 以 CIDR 块表示法表示的 IPv4 地址范围。例如, 203.0.113.0/24。
    • 单个 IPv6 地址。您必须使用/128前缀长度。例如, 2001:db8: 1234:1a00::123/128.
    • IPv6 地址范围,采用 CIDR 块表示法。例如, 2001:db8: 1234:1a00::/64.
    • 前缀列表ID。例如, pl-1234abc1234abc123. 有关更多信息,请参阅Amazon VPC 用户指南 中的前缀列表。
    • 安全组(此处称为指定安全组)的ID。例如,当前安全组、同一 VPC 的安全组或对等 VPC 的安全组。这允许基于与指定安全组关联的资源的私有 IP 地址的流量。这不会将指定安全组中的规则添加到当前安全组。

规则由以下特点:

  • 允许入的,默认允许出,不必再设置出规则。
  • 规则默认都是允许,没有拒绝。

默认安全组与自定义安全组

默认安全组允许所有出流量,但入流量仅允许绑定该安全组的资源。
自定义安全组允许所有出流量,入流量不允许,需要添加规则来进行控制进出流量。

安全性

操作系统安全

EC2安装了操作系统,在创建时可以使用开源的操作系统,如果出现问题,也将影响AWS EC2对应的实例。

密钥泄漏

ssh的密钥文件一般很少泄漏,不过用户也可以修改sshd,启用账号密码登录。
云原生-AWS EC2使用、安全性及国内厂商对比,# 云原生安全,云原生,aws,云计算

部署应用安全

EC2上面如果部署应用,应用有漏洞,也可能影响EC2实例。

元数据造成SSRF漏洞出现时敏感信息泄漏

访问metadata能够获取以下信息
云原生-AWS EC2使用、安全性及国内厂商对比,# 云原生安全,云原生,aws,云计算
local-ipv4、public-ipv4、security-groups、identity-credentials等是比较敏感的信息,当然AWS是默认不开启元数据的,并且使用IMSV2(实例元数据服务版本2)来解决了普通的GET型SSRF问题(攻击者可控URL)。
用户数据类似
云原生-AWS EC2使用、安全性及国内厂商对比,# 云原生安全,云原生,aws,云计算

网络设置错误

安全组配置错误时,可能造成一台EC2被攻击后,其他EC2也被扫描出来。

厂商对比

对比项 AWS 阿里云 华为云
密钥泄漏 默认密钥文件登录 默认账号密码登录 默认账号密码登录
安全组 只能添加允许规则 可以允许或拒绝,有优先级字段,相同时拒绝优先 和阿里云类似
元数据服务 提供了IMSV2来防御GET型SSRF 通过加固模式防御GET型SSRF 需要租户自己解决,且元数据过多

参考

EC2用户指南
如何安全设置AWS EC2
针对AWS EC2的SSRF攻击
IMSV2仍有SSRF攻击

阿里云-云服务器ECS
华为云-弹性云服务器ECS文章来源地址https://www.toymoban.com/news/detail-715085.html

到了这里,关于云原生-AWS EC2使用、安全性及国内厂商对比的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【AWS入门】AWS Auto Scaling根据EC2负载的情况伸缩EC2实例

    Auto Scalling:根据EC2负载的情况伸缩EC2实例,配置方式有两种,一种时启动模板(推荐),一种时启动配置(即将下线,不推荐),接下来我们就来尝试以下用启动模板的方式来配置Auto Scaling。 EC2 启动模板 创建启动模板 设置资源标签:以后扩展的所有EC2实例,名字都会叫d

    2024年02月11日
    浏览(45)
  • 亚马逊云创建Aws EC2示例+用Xshell7连接登录Aws+设置允许使用root登录

    在学Linux,想着搞个服务器来玩玩,发现亚马逊云可以弄免费的服务器,跌跌撞撞才了不少坑,最后给弄好了,这里记录一下我的 创建Aws EC2示例+用Xshell7连接登录Aws+设置允许使用root登录 的整个过程,提供大家参考,也防止自己以后忘记怎么弄。 打开AWS EC2管理控制台,右上

    2024年01月16日
    浏览(53)
  • 云原生之深入解析Dapr安全性之访问控制策略

    ① 跨命名空间的服务调用 Dapr 通过服务调用 API 提供端到端的安全性,能够使用 Dapr 对应用程序进行身份验证并设置端点访问策略: Dapr 应用程序可以被限定在特定的命名空间,以实现部署和安全,当然仍然可以在部署到不同命名空间的服务之间进行调用。默认情况下,服务

    2024年02月12日
    浏览(54)
  • AWS实操-EC2-创建购买linux(centos)EC2服务器

    启动实例 在AWS EC2控制界面,进行单击启动实例以创建和配置虚拟机。 配置实例 在该界面进行配置服务器名称、选择AMI镜像等。 选择浏览其他AMI,选择centos镜像,下文以centos7.6为例 在搜索框输入对应系统版本,建议选择经过验证提供商的AMI镜像 选择合适业务的EC2配置 选择

    2024年04月16日
    浏览(67)
  • AWS EC2实例管理

    针对近期学习的AWS EC2实例进行知识归纳与总结,欢迎家人们指正错误!ψ(`∇´)ψ AWS:亚马逊网络服务平台(亚马逊云服务平台)(Amazon Web Service) 英文全称:Amazon Elastic Compute Cloud 中文全称:亚马逊弹性计算云,又名“实例(instance)” 通俗理解:实例是 AWS 云中的 虚拟服

    2024年02月04日
    浏览(53)
  • 【Terraform学习】使用 Terraform创建Lambda函数启动EC2(Terraform-AWS最佳实战学习)

     本站以分享各种运维经验和运维所需要的技能为主 《python》:python零基础入门学习 《shell》:shell学习 《terraform》持续更新中:terraform_Aws学习零基础入门到最佳实战 《k8》暂未更新 《docker学习》暂未更新 《ceph学习》ceph日常问题解决分享 《日志收集》ELK+各种中间件 《运

    2024年02月11日
    浏览(51)
  • 【Docker】云原生利用Docker确保环境安全、部署的安全性、安全问题的主要表现和新兴技术产生

    前言 Docker 是一个 开源的应用容器引擎 ,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux或Windows 操作系统的机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口。   Docker十分火热,很多人表示很少见如

    2024年02月11日
    浏览(54)
  • 【aws】| 04 | AWS EC2 实例磁盘空间扩容

    进入控制台,选择 EBS - Volumes -Action - Modify Volume 首先使用lsblk可以查看附加到实例上的所有存储卷的真实size以及分区情况 注: 挂载在根目录上的是EBS存储卷上的分区而不是这个卷,而且卷被扩容但是分区大小不变依旧不能扩容。 xvda是一个存储卷,xvda1是存储卷上的一个分区

    2024年02月11日
    浏览(72)
  • 【Terraform学习】使用 Terraform 从 EC2 实例访问 S3 存储桶(Terraform-AWS最佳实战学习)

    前提条件 安装 Terraform : 地址 下载仓库代码模版 本实验代码 位于  task_ec2_s3connet  文件夹中 。 变量文件  variables.tf     在上面的代码中,您将 声明 , aws_access_key , aws_secret_key 和 区域变量 。 声明存储桶名称变量 。 terraform.tfvars   在上面的代码中,您将 定义变量的值

    2024年02月11日
    浏览(45)
  • 【Docker】云原生利用Docker确保环境安全、部署的安全性、安全问题的主要表现和新兴技术产生的详细讲解

    前言 Docker 是一个 开源的应用容器引擎 ,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux或Windows 操作系统的机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口。 📕作者简介: 热爱跑步的恒川 ,致力于

    2024年02月11日
    浏览(42)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包