جدران الحماية ضرورية لأمان أي خادم. إن السماح فقط لحركة المرور الصحيحة عبر المورد الصحيح يمنع حركة المرور الضارة والهجمات المحتملة من الاستفادة من خادمك غير المحمي. تقدم DigitalOcean أجهزة افتراضية ، تُعرف باسم Droplets ، والتي تأتي مع تكوين نظام جدار الحماية الخاص بها ، والمراقبة ، ومزايا الصيانة على جدران الحماية التقليدية على مستوى نظام التشغيل.
يسمى نظام جدار الحماية Cloud Firewall. إنه جدار حماية على مستوى الشبكة يسقط حركة المرور التي لا تريدها للوصول إلى Droplet الخاص بك ، وبالتالي لن تصل حركة المرور التي قد تكون ضارة إلى خادمك أبدًا. بعض ميزات Cloud Firewall هي:
- الجدران النارية الواردة والصادرة
- الخدمات المسماة ، مثل SSH و HTTP (S) و MySQL وما إلى ذلك.
- منافذ مخصصة
- نطاقات المنفذ
- تحديد حسب المصادر ، مثل Droplets أو Load Balancers أو VPCs أو العلامات أو عناوين IPv4 أو IPv6 CIDR محددة
في الآونة الأخيرة ، أطلقت DigitalOcean شبكات Virtual Private Cloud (VPC). من خلال تحديد مجموعة من الموارد في VPC ، يتم الاحتفاظ بكل حركة المرور داخلية لتلك الشبكة ، حتى من شبكات VPC الأخرى. تعمل جدران الحماية السحابية جنبًا إلى جنب مع VPCs لتقسيم حركة المرور وحمايتها بشكل أكبر. بالنسبة لهذه المقالة ، سنستخدم جهازين افتراضيين تم تكوينهما في القصر التالي:
- OS: Ubuntu 18.04.3 LTS x64
- التسعير: أساسي VM بسعر $ 5 / شهر
- المنطقة: منطقة SFO2
- المصادقة: مفاتيح SSH
- العلامات:
test،ubuntu
إنشاء جدار حماية سحابي
بعد إنشاء Linux VM ، تتمثل إحدى المهام الأولى في حماية خدمة SSH ، حيث غالبًا ما يكون هذا هدفًا رئيسيًا للجهات الفاعلة الخبيثة. دعنا ننشئ جدار حماية بسيطًا وسهل الاستخدام من شأنه أن يقصر SSH على الجهاز الظاهري الذي تم إنشاؤه حديثًا من خلال عنوان IP الذي قمنا بتعيينه.
في هذا المثال ، سيكون عنوان IP
192.168.100.5. بعد النقر فوق "إنشاء جدار حماية" ، يتم تقديم نموذج يسأل عن الاسم ، والقواعد الواردة ، والقواعد الصادرة ، والمورد الذي سيتم تطبيق جدار الحماية عليه.
- الاسم:
ssh-limit - القواعد الواردة
- SSH →
192.168.100.5
- SSH →
بعد ذلك ، دعونا نلقي نظرة على القواعد الصادرة. ما تراه أدناه هو القواعد الافتراضية. ما يقوله هذا هو أن جميع حركات مرور TCP / UDP الصادرة مسموح بها لجميع المواقع ، كما هو الحال بالنسبة لحركة مرور ICMP. بشكل عام ، هذا جيد ، حسب احتياجاتك. يتمتع معظم مسؤولي الخادم بمستوى أعلى من التحكم في حركة المرور الصادرة بدلاً من الواردة. ومع ذلك ، يمكنك بالتأكيد تقييد حركة المرور هذه.
أخيرًا ، دعنا نطبق جدار الحماية الجديد هذا على جهاز افتراضي تم إنشاؤه حديثًا وضعنا علامة
testلماذا نطبق جدار الحماية على علامة بدلاً من Droplet نفسه؟ من خلال تطبيقه على علامة ، سيتم تطبيق جدار الحماية هذا تلقائيًا على كل مورد جديد تم وضع علامة عليه بشكل مناسب.يقوم بأتمتة التكوين ويعني أنه لن يتم تفويت تكوينات جدار الحماية المهمة.
بعد الإنشاء ، يمكنك أن ترى أن جدار الحماية مطبق بشكل صحيح على Droplet ، وسيسقط الآن كل حركة المرور التي لا تتناسب مع هذا النمط ، قبل أن تصل حركة المرور إلى Droplet.
توفير قطرة جديدة
ماذا يحدث بعد ذلك عندما نوفر Droplet جديد ونضع علامة على VM بعلامة
test
؟ بعد توفير جهاز افتراضي جديد والانتقال إلى قسم الشبكات في تطبيق droplet الصغير ، يمكنك أن ترى أن
ssh-limitجدار الحماية الذي أنشأناه سابقًا يتم تطبيقه تلقائيًا.
الحد من حركة مرور VPC الداخلية
ماذا لو كان لدينا قواعد بيانات MySQL على قطرتين من Droplets لدينا تم توفيرهما ، ونود التأكد من عدم تسرب حركة المرور خارج هذه الموارد؟ للتأكد من أن حركة مرور المنفذ 3306 (MySQL) مسموح بها فقط من الموارد الأخرى داخل VPC ، يمكن تطبيق قاعدة جدار الحماية السحابي فعليًا على نطاق حركة مرور VPC.
إذا كنت تستخدم منتج قواعد البيانات المُدارة من DigitalOcean ، مثل قواعد بيانات MySQL أو PostGres أو Redis ، فإن هذه القدرة تجعل من السهل حماية هذه الموارد أيضًا. سيكون الإعداد المثالي هو احتواء جميع الموارد ذات الصلة في VPC ، ثم استخدام Cloud Firewall لحماية حركة المرور بين الموارد المختلفة بشكل صحيح.
محاذير جدار حماية السحابة
يجب أن تكون على دراية ببعض العناصر عند استخدام Cloud Firewall. بعضها عبارة عن حدود كمية على جدران الحماية السحابية ، والبعض الآخر عبارة عن قيود المنتج التي قد تؤثر على كيفية استخدامك للجدران النارية السحابية.
- يوجد حد أقصى 10 قطرات مضافة بشكل فردي لأي جدار حماية معين.
- هناك 5 علامات كحد أقصى يمكن إضافتها إلى جدار حماية معين ، ولكن باستخدام العلامات ، يمكنك الالتفاف على قاعدة Droplet الفردية العشر (على سبيل المثال ، ستظل العلامة التي تحتوي على 50 قطرة تعمل مع جدار الحماية).
- يمكن أن يحتوي جدار الحماية على إجمالي 50 قاعدة واردة وصادرة مجتمعة.
- جدران الحماية تدعم فقط حركة مرور ICMP و TCP و UDP في هذا الوقت.
- لن تكون سجلات حركة المرور متاحة لحركة المرور التي تم إسقاطها لأن هذا يحدث على مستوى الشبكة.
الخلاصة
على الرغم من أن هذه مجرد نظرة عامة على الوظائف والقواعد التي يمكن تحديدها لـ DigitalOcean Droplets ، إلا أن الجمع بين جدار الحماية على مستوى الشبكة وشبكات VPC يمكن أن يحمي بسهولة Droplets من حركة المرور الضارة.مع التكلفة المنخفضة للقطيرات منخفضة الطاقة وسهولة التكوين ، يمكن للمرء أن يرى بسرعة كيفية استخدام جدران الحماية السحابية لحماية موارد الخادم.
