プログラミング初心者がアーキテクトっぽく語る

見苦しい記事も多数あるとは思いますが訂正しつつブログと共に成長していければと思います

AWSで安全なEC2インスタンスを立ち上げるための鉄則

Cloud インフラ

EC2インスタンスをハッカーに攻撃されて乗っ取られたりしたら嫌ですよね。

でも不必要に怖がっていたらクラウドなんて使えないですよね。

必要なのは正しい知識です。

AWSからBest Practiceが提示されているので理解しておきましょう。

管理用SSHアクセスにはEC2 Instance Connectを利用する

EC2 Instance Connectの接続はIAMを利用して安全に管理されている
接続元をAWSに限定できるので安全なSecurity Group Inbound Ruleを作成できる

rootユーザによるSSH接続を許容しない

AWSが提供するAMIはほとんどrootユーザによるSSH接続を許可していない

SSH接続ではパスワード認証ではなくKey Pairを使用する

パスワード認証を無効化することで総当り攻撃などの攻撃を無効化できる
AWSが提供するAmazon LinuxのAMIなどはパスワード認証が無効化されている

不明なソースからのアクセスを制限する

自分のPCアドレスや、会社のネットワークなどからのアクセスのみを許可すること
EC2 Instance Connectを利用する場合、EC2 Instance Connectが利用するアドレス帯も許可すること
- https://ip-ranges.amazonaws.com/ip-ranges.json

不要なプロトコルへのアクセスを制限する

RDP、SSH、HTTPS等、必要なポート以外はSecurity GroupのInbound Ruleで制限すること

OSを最新の状態に保つ

以上の全てを実行してもOSやライブラリの脆弱性をつかれてハッキングされるリスクは以前、残っている
既知の脆弱性を防ぐためにもすぐに更新を実行すること
- sudo yum update等